首  页 > 新闻动态 > 行业新闻 > 电子护照数字签名仍然无法由CBP验证
产品分类
face recognition temperature(3)
新品到货(26)
热门产品(12)
指纹扫描仪(22)
手持机系列(14)
POS终端(5)
考勤系列(14)
门禁系列(6)
Personal Security Protection(4)
Sales Promotion(35)
门锁系列(11)
摄像机系列(11)
Explosion Models
联系我们
电话:+ 86-23-67305242:
手机:+ 86-13667681778
电子邮件:info@hfcctv.com
网址:http://www.hfteco.com/
Facebook:汇帆科技
Youtube:汇帆科技
联系我们

新闻动态

电子护照数字签名仍然无法由CBP验证

  • 作者:HF安全
  • 发布时间::2018-03-08
由安东尼Kimery 
2018年3月7日 -
民主党桑斯说:“自2010年政府问责局(GAO)审计发现安全失误以来,海关和边境保护局(CBP)”仍然不具备验证电子护照中机器可读数据的技术能力“,克莱尔麦卡斯基尔说。 )和Ron Wyden(OR)在最近致函代理CBP委员Kevin McAleenan时通知他CBP需要“立即采取行动,利用电子护照中的防伪和防篡改功能,这些功能自CBP实施以来未被CBP使用2007年。”
McCaskill和Wyden说:“如果没有软件来验证存储在电子护照上的[加密]数字签名,”CBP不能“确定存储在智能芯片上的数据是否被篡改或伪造。
美国海关与边防局官员可以下载并阅读有关美国护照中RFID芯片的信息,但他们无法对其进行身份验证。这是一个安全漏洞,它不允许CBP知道国务院放在芯片上的数据是否被“修改或伪造”,GAO在其2010年1月的审计报告中称,更好地使用电子护照安全功能可以改善欺诈行为检测。
当国务院开始发行带有嵌入式计算机芯片的电子护照并存储与护照相同的信息时,它还开发了一套全面的控制手段来管理系统的操作和管理,以生成和编写一种称为数字签名的安全功能在发行的每个电子护照的芯片上。经过验证,数字签名可以合理保证国务院放在芯片上的数据没有被改变或伪造。
“但是,”GAO指出,美国国土安全部(DHS)没有能力完全验证数字签名,因为它没有将电子护照阅读器部署到所有的入境口岸,并且它没有实现系统功能进行验证所必需的。由于安全功能的价值不仅取决于其坚实的设计,而且取决于使用它们的检查过程,因此可以通过在美国和外国发布的电子护照上包含计算机芯片来提供防伪造和伪造的额外安全性包括参与签证豁免计划的国家在内的国家还没有完全实现。“
“美国政府在全球采用电子护照方面发挥了核心作用。这些高科技护照具有存储旅行者信息的智能芯片和加密签名,这是一个重要的安全特征,用于验证护照及其签发的政府机构的有效性和合法性,“和”,十多年来,美国要求在签证豁免名单上的国家发放机读电子护照,“McCaskill和Wyden说,指出:”自2015年以来,美国进一步要求来自各国的所有来自签证豁免名单的访问者进入美国带电子护照“。
但是,“尽管做了这些努力,”两位参议员告诉McAleenan,“CBP缺乏验证电子护照芯片的技术能力。
他们强调,“美国海关与边境保护局至少在2010年以前就已经意识到这种安全失误”,当时GAO审计报告“突出表明了技术缺口。 “在出版八年后,CBP仍然不具备在电子护照中验证机器可读数据的技术能力。”
广告


在审计报告发布时,GAO建议“国土安全部实施在美国入境口岸全面验证电子护照数字签名所需的系统,并与国家协调实施一种方法,以获取必要的数据,以验证美国和欧洲的数字签名其他国家的电子护照“。
国土安全部同意政府监督部门的建议。
现在近十年后,McCaskill和Wyden表示:“CBP已经到了将电子护照所需的数字安全功能应用于其中的时候了,”并告诉McAleenan CBP必须“与总务管理局的相关主题专家合作以确定开发或获取验证电子护照数字签名的技术能力的真实成本“,并”制定并实施一项计划,在2019年1月1日之前正确认证电子护照。“GAO指出,“设计到美国电子护照计算机芯片中的保护措施限制了恶意代码驻留在芯片上的风险,这是芯片针对读取它们的计算机系统发生恶意代码攻击的必要先决条件。”
但是,尽管采取了措施“降低将恶意代码引入芯片的可能性......但这些步骤并不能完全保证芯片没有恶意代码,”GAO透露,“注意到”电子护照芯片并且代理机大大降低了恶意代码(如果驻留在电子护照芯片上)可能对代理计算机构成威胁的风险。最后,鉴于没有任何保护措施可以被认为是万无一失的,国土安全部需要解决我们以前在其计算机系统上的缺陷,以减轻可能从电子护照计算机芯片读取并感染这些系统的任何恶意代码的影响。“
作为回应,美国海关边防总署表示,“虽然[它]目前不核实电子护照的国家证书,但美国海关边防总署确实核实了芯片内和机器可读区域(MRZ)内的数据......芯片上的数据和MRZ进行比较,并立即向CBP官员报告任何不一致情况。“CBP还表示,它确认芯片没有被修改或篡改。