Med introduktionen af MitID har mange af os brugt mobiltelefonen til at læse data fra vores pas.
Hvis man ikke lige er en teknisk pilfinger, er det jo ikke sikkert, at man har tænkt noget særligt over, hvordan det egentlig fungerer. Men det er faktisk et meget sjovt lille hjørne teknologi, som blev lagt i de danske pas fra august 2006 i forbindelse med opdatering af ICAO 9303 standarden , den internationale standarder for pas. Ved opdateringen fik passet en RFID-chip som indeholder ansigtsbillede, underskriftsbillede og de øvrige data fra passet.
Fra 2012 begyndte man også at registrere fingeraftryk i vores pas.
Den elektroniske chip er indført for at vanskeliggøre forfalskninger af pas. Man kan læse mere om løsning og sikkerhed hos ICAO. En grundig gennemgang af operationel status kan f.eks. findes i denne ældre Frontex rapport.
Da danske pas almindeligvis er gyldige i 10 år, har næsten alle danskere i dag sådan et pas med en chip i, og dermed har man kunnet bruge passet til ekstra validering af brugeren i forbindelse med indførelsen af MitID.
Version2 har skrevet lidt om MitID anvendelsen af pas.
Baggrunden for at passet skulle i spil ved migreringen til MitID er øgede sikkerhedskrav. NemID kunne registreres i banker, på borgerservice samt ved online bestilling og fremsendelse af to breve til din folkeregisteradresse. Men med den nye eIDAS standard er der et øget fokus på fysisk identifikation af brugerne, og det har betydet, at de NemID-brugere, som havde bestilt NemID med brevforsendelser, også skulle genbekræfte deres identitet med læsning af deres pas, eller alternativt møde op på borgerservice.
Men hvad er det egentlig mobiltelefonen kan med mit pas?
Nyere mobiltelefoner har en RFID læser indbygget, så når man holder passet op til denne læser, får mobiltelefonen mulighed for at læse de offentligt tilgængelige data fra passet. Men der hører dog en række skridt til, når man vil bruge sit Pas til at få MitID med..
- Første skridt er at scanne passets OCR-linje forneden
Hvorfor skal man nu det? Jo da man lavede ICAO 9303, var der selvfølgelig en bekymring for, om man nu risikerede, at ”elektroniske lommetyve” kunne læses personlige data fra passet, når man gik rundt med det i tasken i lufthavnen. Den pragmatiske løsning som standarden endte med var, at hvis en RFID-læser har adgang til optisk at læse OCR-linjen inde i passet, så må den også have lov til at hente de samme data samt biometri elektronisk fra chippen. Altså: Hvis passet åbnes, og kan OCR-scannes, så skal chippen også give adgang til elektronisk læsning.
Denne såkaldte BAC-beskyttelse er en første interessant og lidt sjov teknisk løsning valgt af ICAO på en stribe særlige problemer, der knytter sig til det elektroniske pas. Der er dog en begrænset entropi i OCR-linjen, og derfor har ICAO også en stærkere PACE algoritme i dag.
Disse beskyttelsesmekanismer forhindrer dog ikke gadget-producenter i at tilbyde RFID-sikre hylstre til folks pas. Det burde der ikke være behov for, men sådan er der jo også afsætning for så mange andre ting, som vi ikke har behov for.
Én af fordelen ved at læse de elektroniske data er, at disse er digitalt signeret af passets udsteder. Den klassiske svindler fra gangsterfilmene, som sidder svedende i et baglokale og klistrer falske pas sammen, skal altså håbe på, at hans kunde ikke møder en elektronisk paskontrol, som kan afsløre, at det billede han møjsommeligt har udskiftet i passet ikke er det samme, som det der kan læses elektronisk i chippen. Alternativt må svindleren vel håbe på, at hans kunde bliver buret inde…
- Andet skridt er at læse data fra passets RFID-chip.
Når man har scannet OCR-linjen fra passet, skal data udlæses fra chippen ved at man lægger mobiltelefonen ovenpå passet. Chippen i passet får så strøm fra mobiltelefonen via RFID-antennen i passet, vågner til live, og sikrer sig, at mobiltelefon-applikationen har læst OCR-linjen i passet, og sender derefter data fra passet til mobiltelefonen. Dette omfatter dog ikke fingeraftrykket i chippen, som har en særlig beskyttelse. Så det er kun ansigtsbillede, billede af underskrift samt læsbare data fra passet (navn, højde etc.) som sendes til mobiltelefonen.
- Tredje skridt er at validere mobiltelefon-holderen imod ansigtsbilledet i passet
Når mobiltelefonen har læst de elektroniske data i passet og valideret den digitale signatur fra det udstedende land, har vi som udgangspunkt en god sikkerhed for, at der findes en officielt registreret person med de pågældende data. Men vi ved jo ikke, hvem der sidder med passet i hånden lige nu. Derfor omfatter tredje skridt en sammenligning af det signerede elektroniske ansigtsbillede med det ansigt, som mobiltelefonens kamera kan optage i realtid. Her er der igen forskellige risici at adressere, da man selvfølgelig ikke bare skal kunne holde et billede af den rigtige pasindehaver op foran kameraet.
Når man er igennem de tre skridt, har man en god sikkerhed for, at mobiltelefonholderen foran kameraet også er den rette pasindehaver, som har fået udstedt dette pas med fysisk fremmøde indenfor de seneste 10 år.
Og dermed er vi i mål. Øvelsen handlede jo om at få et sikkert link tilbage til en sikker fysisk identifikation!
Det er i øvrigt samme skridt man går igennem i lufthavne, som understøtter selvbetjent paskontrol. Nogle lufthavne har et fjerde trin, hvor man også validerer fingeraftryk, men dette kræver særlig godkendelse fra det pasudstedende land.
Til MitID kan man endda hjælpe sin familie og andre med denne lidt komplicerede øvelse. Tillad mig at mene, at dette faktisk er lidt innovativt tænkt af den offentlige forvaltning.
Biometriske data fra både chip og fra mobiltelefonens kamera anvendes altså i verifikationsprocessen i MitID app og den bagvedliggende server. Det er selvfølgelig vigtigt for tilliden til løsningen, at disse data holdes så tæt på brugeren som muligt i appen, og i øvrigt slettes sikkert efter anvendelsen.
Der er mange andre sjove randbetingelser for en chip i et pas, som gør, at der er truffet helt specielle tekniske valg. Man må jo tænke sig, at sådan et chip efter at have kedet sig i éns skuffe i otte år, endelig bliver taget med til Gran Canaria og pludselig får strøm fra en RFID-læser, som gerne vil have lov til at få dens ejers fingeraftryk udlæst. Dens første problem er, at den ikke ved, om den skal stole på denne RFID-læser, som faktisk er det eneste, den kan kommunikere med i hele verden. Dens næste problem er, at den ikke ved hvilken dato den er vågnet op. Og dermed kan den ikke helt stole på de spærrelister, som den får fra RFID-læseren. Derfor bruges der mere hardwarebeskyttelse i paslæsere og kortere certifikatlevetid (dage) end man ellers ser, for at begrænse problemer ved stjålne paslæsere.
Overgangen til MitID er nok første brede anvendelse af det elektroniske pas herhjemme. Når passene er gyldige i 10 år, tager det jo også tid at få fuld udbredelse.
Teknologien har den fordel, at den er standardiseret og internationalt udbredt. Dermed er der mulighed for en basal elektronisk identifikation af brugere på tværs af landegrænser, hvilket kan hjælpe de elektroniske tjenester indtil den dag, hvor elektroniske identiteter er udbredte og forbundne.
/mosp
