请鉴定:您的护照是否正在泄漏敏感信息?
如果你曾经在美联邦外进行过国际旅行,通常来说你一定会在出行前要求办理护照。在旅行中很多人仅仅将护照当做身份证明和签证记录,从而并没有多加关注。但是护照很有可能在你并没有意识到的情况下,将你的个人信息提供给了陌生人。
护照中的RFID(Radio Frequency Identification)技术
注:RFID(Radio Frequency Identification)技术,又称无线射频识别,可通过无线电讯号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。
从2007年开始,美国国务院开始在颁发的护照中添加RFID(无线射频识别)芯片,这个芯片(下图中所标记处)中含有数字版本的护照信息,其中并包含了照片。此芯片旨在增加护照的安全性及防伪性。
我们在之前已经介绍过了RFID技术,鉴于此项技术的安全隐患,我们应对此格外注意。RFID基本上可理解为是一种被动的芯片技术,它允许在一定范围内由扫描仪接收内部所储存的数据。当扫描仪距离足够近时(几英尺内),RFID芯片内的数据将毫无迹象地被扫描获取,因此有心人可使用RFID扫描仪在不知不觉中扫描得到你护照芯片中的数据。
在一篇来自CNET(科技资讯网http://www.cnetnews.com)文章中,米国国务院发言人对护照内RFID芯片安全相关问题进行了回答,并指出即使芯片内数据被扫描复制,但是数据的访问控制已进行了安全加密, BAC(二进制模拟转换Binary-Analog Conversion)在允许数据访问前要求先行认证,从而杜绝了上述安全质疑。此外因为RFID芯片通常情况下是被屏蔽设备覆盖的,只有当护照被打开的时候才有可能扫描数据。
上述声明也许是个事实,且每个出国旅行的人都知道必须将护照打开的次数实际并不多。但针对护照内RFID芯片屏蔽层的试验显示,只要屏蔽层没有完全覆盖RFID芯片,芯片就可以被扫描,也就是说只要护照没有完全闭合,即使是合上的也可以被扫描出芯片信息。
我们能干点啥?
如果你持有的护照中存在RFID芯片,现在有几个可屏蔽芯片的小窍门。最好、也是最不暴力的方法就是整一个可完全封闭的RFID屏蔽装置,这也是旅行中比较有用的一个东西,可将护照、信用卡、门禁卡等东西都放入其内。
另一个更为一劳永逸的办法是将护照的RFID部分进行“高速冲击调整”,虽然美国国务院严禁任何形式的篡改护照,但同时也表示护照上的RFID芯片无效,并不影响护照本身的有效性。但是需记住的是如果RFID芯片上有特殊形状的磨痕或者是篡改的痕迹,护照很有可能被判定为无效。
护照卡
最近米国国务院推出了新的护照卡,可替代护照作为身份识别通过陆路前往加拿大和墨西哥。相对于护照本中RFID芯片记录了全套的个人信息,护照卡中的芯片仅储存了一组唯一识别编码,此编码可与政府数据库中信息相匹配。布莱恩最近收到了他的新护照卡,并将感想分享如下:
如果你在ITS网站上混的时间够长,那你应该读过我几年前写的一篇《获得一个重复的护照》文章,然而我并没有去实际实施。现在我终于有时间去办了一张护照卡,待我详述过程是如何又紧张又崩溃:
首先如先前所述护照卡有其局限性,仅作为政府识别身份使用,并不能作为国际航空旅行使用,仅可以通过陆路或海运港口通过加拿大、墨西哥、加勒比海以及百慕大。
护照卡可以作为前往上述区域的一个备用护照,因此可以将护照本留在家中的保险箱内。护照卡同样包含了一个RFID芯片以及一个保护套,但我十分怀疑一个纸质保护套是否可以有效屏蔽无线射频扫描仪。即使护照卡RFID芯片内仅仅是记录了一组识别编码,远比护照本的信息要少,但是我还是会将护照卡放置在专用的屏蔽钱包内。
申请办理护照卡的过程是一种身心上的折磨,我建议你在办理护照本的同时,加一点钱一并办理护照卡。如果你手头仅有护照本并想申请一张护照卡,那在填写大量文书表格,附带照片邮寄付款外,还需将护照本同样邮寄进行申请。
我大概等一个月,这段时间我焦虑地忍耐着没有护照在身的情况。好不容易护照卡收到了,却被告知护照在另一个单独的信封中寄回。又等待了5天后,就在我要给相关部门打电话时,护照总算寄回来了。这番繁琐的经历,也是为什么我在几年前提出最好能有一个备用的护照,也许我最终也会按照我之前的建议去弄一个备用的护照。
护照的未来
虽然经历了上述介绍,基本确定盗读护照中RFID芯片信息并篡改的可能性很低,但是我们不能因此就忽视护照的安全性问题,毕竟这本护照将持有10年后才会更换。 这意味着你所持有的2007年颁发的护照所使用的RFID技术,已经是接近10年前的老古董技术了,科技进步日新月异,因此RFID技术的更新将有可能使得数以百万计的护照信息安全变得岌岌可危,甚至造成大范围的泄密事故。
涉及科学技术的问题就是这样,所谓“应该还不错”的态度远不够严肃,现在还是有人在研究超远距离读取信息方向的技术。在这件事情上,我们还是应该将主动权掌握着手中,更好地保护自己的信息,而不是寄希望于远程数据信息读取技术的未实现。
译注
以上文章来自ITS网站,通篇下来透出了笔者对于自身信息安全的敏感及不安全感。感兴趣的朋友可以在news.rfidworld.com.cn(RFID世界网)上,轻易搜到诸如《RFID电子护照与信用卡安全性堪虑》、《黑帽大会:黑客在217英尺开外读取护照RFID芯片数据》等相关的翻译文章,文章的时间基本都是在2010年前后,较为久远。当前我兔纸国的电子护照以及第二版身份证中同样嵌入了芯片,虽然普通百姓遭遇职业黑客甚至特工,手持RFID无线射频扫描仪于200英寸外扫描信息的可能性微乎其微,但是出门在外还是要注意细节,尽量避免个人信息的泄露。尤其当前世界形势颇为动荡,谁都不希望别有用心者能够轻松地和秘密地在人群中通过扫描护照信息,直接辨别出是米国人、是中国人或是其它国家的人。
刚好在翻译此篇文章之时入手了一款钱夹,附带RFID屏蔽功能,是否真的可以屏蔽RFID芯片,过一阵我打算分别使用门禁卡、公交卡,以及银行卡试验一下。如有心得我将尝试写一篇测试报告来与大家分享。
最后鉴于我兔国国情,我觉得此文虽然有些道理且值得借鉴,但是大多数国人的信息早就被各种机构、中介传的满天飞了。保护个人信息安全的方式远非仅此而已,可能在收到快递包裹后,随手划掉姓名及联系方式等习惯更有效些呢。
- 下一篇: 简化EDC-追求独特的逼格
- 上一篇: 行者的手包——麦格霍斯Magforce旅行家护照证件套评测
评论已关闭。