Lätt förfalska EU-pass

Datainspektionen, DI, ska i höst grans-ka polisens och gränsmyndigheternas hantering av det svenska e-passet.

- Vi ska undersöka säkerheten kring passet och integritetsrisker, säger Jarl Hellberg, it-säkerhetsexpert på DI till Ny Teknik.

Inspektionen var planerad sedan tidigare, men får extra aktualitet efter att en tysk dataexpert nyligen visat att det lätt går att kopiera den digitala informationen från ett chip i ett EU-pass till ett annat. Med hjälp av ett sådant klonat pass skulle en terrorist som liknar den kopierade ansiktsbilden kunna lura passpolisen.

- Ännu så länge verkar riskerna inte vara så stora, eftersom pass-

bilderna också granskas manuellt, men om automatiska passkontroller införs kan bedragare bli svårare att upptäcka, säger Jarl Hellberg.

Flera länder diskuterar också att införa automatiska passkontroller, bland dem Australien, enligt mediekällor.

Omid Aval,vd för svenska Smarticware som leder arbetet med att designa de tekniska specifikationerna för EU-passen på uppdrag av EU-kommissionen, bekräftar att kloning av EU-passet är möjlig.

- Det är naturligtvis inte bra att det går att kopiera information från chippet i ett pass till ett annat. Men vi har skapat motåtgärder som borde implementeras i nästa version av e-passet, säger han.

I det svenska e-passet finns också en funktion förberedd i chippen som kan blockera kopiering (Active Authentification), uppger Matti Kovalainen, försäljningsdirektör på fins-ka Setec som tillverkar rfid-chippen till bland annat de svenska e-passen.

- Men så vitt jag vet har den hittills inte aktiverats i något EU-land eftersom chipkloningen inte har setts som ett hot, då den också måste kombineras med förfalskning av pappershandlingen, förklarar Matti Kovalainen.

För ett halvår sedan lyckades holländska dataexperter knäcka nyckeln för att läsa innehållet i passchippen. Nyckeln består av en sifferkombination som både finns tryckt i passet och inbäddad i chippet. För att chippet ska kunna öppnas och läsas måste sifferkoderna matcha varandra. Först då startar rfid-avläsningen.

- Visst går det att öppna och läsa ett chip med endast en viss förhandsvetskap. Däremot är det omöjligt att ändra informationen i chippet, eftersom den är skyddad med en digital signatur, uppger Matti Kovalainen.

Den tyske dataexperten Lucas Grunwald hävdar dock att han kan programmera sitt klonade chip så att det svarar på nyckeln som är tryckt på det förfals-kade passet. På så vis skulle avläsaren inte märka att chippet är utbytt.

EU-passen är långt ifrån färdigutvecklade. I somras presenterades specifikationerna för nästa generation, som utöver ansiktsbilder och personlig information också ska innehålla två fingeravtryck senast den 28 juni 2009. Hittills har projektet att ta fram specifikationer för EU-passen kostat en halv miljard kronor i arbetstimmar, enligt Omid Aval som inte vill avslöja totalkostnaden.

- När fingeravtryck tillkommer i chippen blir kloning av passen inte längre möjlig eftersom avancerad kryptering och andra hård- och mjukvarubaserade säkerhetsåtgärder kommer att användas, säger Omid Aval.

Bedömare anser att det är mer troligt att digital fingeravtrycksmatchning blir verklighet så småningom än att automatisk ansiktsigenkänning blir det. Fingeravtrycken förändras inte på samma sätt som ansiktet och utrustningen är billigare.