![Page 1: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/1.jpg)
Coordenação de Tecnologia da Informação – CTI Divisão de Informática - DINF
Coordenação de Tecnologia da Informação – CTI
Segurança em Passaportes Eletrônicos
Ivo de Carvalho Peixinho Perito Criminal Federal
![Page 2: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/2.jpg)
Coordenação de Tecnologia da Informação – CTI
2
Agenda
1. Introdução 2. Passaportes eletrônicos 3. Aplicações 4. Vulnerabilidades conhecidas 5. Passaporte eletrônico brasileiro 6. Conclusão
![Page 3: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/3.jpg)
Coordenação de Tecnologia da Informação – CTI
3
Introdução • Passaporte
• Documento de identidade • Permissão para cruzar
fronteiras • Diplomacia • Padronizado pela OACI (ICAO)
![Page 4: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/4.jpg)
Coordenação de Tecnologia da Informação – CTI
4
Introdução • ICAO (OACI)
• International Civil Aviation Organization
• Agência especializada das nações unidas (ONU)
• Desenvolvimento da nagevação aérea internacional
• MRTD – Machine Readable Travel Documents (ICAO 9303) • ePassports
http://www.icao.int
![Page 5: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/5.jpg)
Coordenação de Tecnologia da Informação – CTI
5
Motivação • Porque ePassports?
• Evolução dos recursos anti-fraude • Possibilidade de criação de aplicações
• Imigração automática • Visto eletrônico
• Autenticação do portador • Biometria
• Segurança do documento
![Page 6: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/6.jpg)
Coordenação de Tecnologia da Informação – CTI
6
Passaportes eletrônicos • Tecnologia RFID
![Page 7: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/7.jpg)
Coordenação de Tecnologia da Informação – CTI
7
Passaportes eletrônicos • Documento ICAO 9303
• Part 1 Vol1 – Elementos de segurança físicos • Part 1 Vol2 – Especificações do IC (RFID) • Part 2 – Machine Readable Visas • Part 3 – Documentos oficiais
• Elementos de segurança físicos • MRZ – Machine Readable Zone • Suporte (papel), UV, marca d’água, intaglio, guilhochês,
etc.
![Page 8: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/8.jpg)
Coordenação de Tecnologia da Informação – CTI
8
Passaportes eletrônicos • MRZ
• Machine Readable Zone • Informações utilizadas pela leitora OCR dos postos de
imigração. • Presente na página de dados do passaporte • Possui códigos de verificação (CRC) • Utilizado como chave para leitura do IC RFID (BAC)
![Page 9: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/9.jpg)
Coordenação de Tecnologia da Informação – CTI
9
Passaportes eletrônicos
![Page 10: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/10.jpg)
Coordenação de Tecnologia da Informação – CTI
10
Passaportes eletrônicos Passporte ID Sec. ID Primário
Número do Documento
País emissor
Dígito verificador Nacionalidade Data Nasc Sexo
Data Exp
Opcional
![Page 11: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/11.jpg)
Coordenação de Tecnologia da Informação – CTI
11
Passaportes eletrônicos • RFID ePassport
• Identificação biométrica • Face (obrigatório) • Impressão digital (opcional) • Reconhecimento da íris (opcional)
• ISO/IEC 14443 (RFID) – 13,56MHz • Sistema operacional embarcado
• Criptografia e Certificação digital • Leitura e gravação de dados (Write Once/Read Many)
![Page 12: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/12.jpg)
Coordenação de Tecnologia da Informação – CTI
12
Passaportes eletrônicos • LDS – Logical data Structure
• Estrutura de dados padronizada pelo ICAO 9303 • Data Groups
• 16 DG’s + 3 (versão futura) • Data items
• Itens dos Data Groups
![Page 13: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/13.jpg)
Coordenação de Tecnologia da Informação – CTI
13
Passaportes eletrônicos • LDS – Logical data Structure
• Common (EF.COM) – Estrutura do LDS • DG1 – MRZ (EF.DG1)
• DG2 – Face (JPEG 2000) (EF.DG2) • DG3 – Fingers (WSQ) (EF.DG3)
• DG4 – Eyes (EF.DG4)
• DG5 – Displayed Portrait (EF.DG5) • DG7 – Signature (EF.DG6)
• DG8, DG9, DG10 – Features (EF.DG8, EF.DG9, EF.DG10) • DG15 – AA Public Key (EF.DG15)
• DG16 – Persons to Notify (EF.DG16)
• Security Data (EF.SOD) – Hashes of LDS Data Groups + Certificate
![Page 14: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/14.jpg)
Coordenação de Tecnologia da Informação – CTI
14
![Page 15: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/15.jpg)
Coordenação de Tecnologia da Informação – CTI
15
Passaportes eletrônicos • Protocolos de Segurança
• Certificação digital (M) • Country Signing CA • Document Signing CA • ICAO PKD
• Passive Authentication (PA) (M) • Active Authentication (AA) (O) • Basic Access Control (BAC) (O) • Extended Access Control (EAC) (O)
![Page 16: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/16.jpg)
Coordenação de Tecnologia da Informação – CTI
16
Passaportes eletrônicos • Certificação digital
• ICAO PKD • Diretório central de certificados digitais (LDAP) • Verifica certificados DS com o CSCA • Não fornece o CSCA de cada país
• Country Signing CA • CA raiz (auto assinado) • Informado ao PKD e aos países com relação
diplomática • Armazenado na leitora de imigração
![Page 17: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/17.jpg)
Coordenação de Tecnologia da Informação – CTI
17
Passaportes eletrônicos • Certificação digital
• Document Signing CA • CA de assinatura de documentos • Incluso no PKD • Incluso no passaporte (Opcional) • Incluso nas leitoras dos pontos de imigração • CRL armazenado no PKD
![Page 18: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/18.jpg)
Coordenação de Tecnologia da Informação – CTI
Certificação Digital
CSCA Document SignerCA CRL
Private Key Public Key Private
Key Public Key
EF.SOD
CSCA Certificates
Document Signer
Certificates
Hash DGs
ICAO PKD
Document Security Object
![Page 19: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/19.jpg)
Coordenação de Tecnologia da Informação – CTI
19
Passaportes eletrônicos • Protocolos de Segurança
• Passive Authentication (PA) • Verificação da assinatura digital do SOD
• Certificado do DS • Verificação dos hashes (EF.SOD) • Autenticidade do SOD e integridade do SOD e dos
DG’s.
![Page 20: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/20.jpg)
Coordenação de Tecnologia da Informação – CTI
20
Passaportes eletrônicos • Protocolos de Segurança
• Active Authentication (AA) (OPCIONAL) • Leitura do MRZ no DG1 • Leitura da chave AA no DG15 • Desafio-resposta com a chave pública e privada do
AA • Chave privada armazenada internamente
• Autenticidade da página • Correspondência do chip com a página de dados • Previne cópia dos dados do chip
![Page 21: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/21.jpg)
Coordenação de Tecnologia da Informação – CTI
21
Passaportes eletrônicos • Protocolos de Segurança
• Basic Access Control (BAC) (OPCIONAL) • Proteção contra leitura indevida • Utiliza o MRZ como chave para acesso ao IC
• Número do documento • Data de nascimento • Data de expiração • Dígitos verificadores
• Deriva chaves de sessão para comunicação segura
![Page 22: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/22.jpg)
Coordenação de Tecnologia da Informação – CTI
22
Passaportes eletrônicos • Protocolos de Segurança
• Extended Access Control (EAC) (OPCIONAL) • Proteção dos dados biométricos • Não é padronizado pelo documento ICAO
• Diferentes implementações • Funcionalidades
• Chip Authentication (CA) – Provar que o chip não foi clonado
• Terminal Authentication (TA) – Verificar se o leitor tem permissões para ler o chip.
![Page 23: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/23.jpg)
Coordenação de Tecnologia da Informação – CTI
23
Passaportes eletrônicos • Protocolos de Segurança
• EAC v2 • Evolução do EAC • Não depende de BAC
• Implementa um protocolo substituto (PACE) • Ainda não é normatizado • Evolução futura • Atualmente em conflito com o documento ICAO
![Page 24: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/24.jpg)
Coordenação de Tecnologia da Informação – CTI
24
Passaportes Eletrônicos • Aplicações
• Imigração automática • Sistema RAPID • CEF Portugal
• Visa eletrônico • Em fase de estudo • DG’s reservados
![Page 25: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/25.jpg)
Coordenação de Tecnologia da Informação – CTI
25
Passaportes eletrônicos • Vulnerabilidades conhecidas
• Skimming • Leitura não autorizada do chip • Detectar e rastrear passaportes • Captura de transações
• Clonagem de chip • Entropia BAC
• 56 bits reduzido a 25 a 35 bits • EAC dependente de BAC
• Resolvido no EAC v2 (PACE)
![Page 26: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/26.jpg)
Coordenação de Tecnologia da Informação – CTI
26
Passaportes eletrônicos • Vulnerabilidades conhecidas
![Page 27: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/27.jpg)
Coordenação de Tecnologia da Informação – CTI
27
Passaportes eletrônicos • Vulnerabilidades conhecidas
• BlackHat 2006 • Identificação de passaportes pelo RFID • Aumento da distância padrão (10 cm) com radios
mais potentes • 3, 4, 6, 10, 31 ft? (0.9, 1.2, 1.8, 3, 9 metros)
• Clonagem de RFID em passaportes • Não permite alteração
• Defcon 2009 • “Portal” de leitura de RFID (Feds)
![Page 28: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/28.jpg)
Coordenação de Tecnologia da Informação – CTI
28
Passaportes eletrônicos • Vulnerabilidades conhecidas
• RFIDIOt (http://rfidiot.org/) • Leitura de passaportes com BAC
• Interferências propositais (jamming)
![Page 29: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/29.jpg)
Coordenação de Tecnologia da Informação – CTI
29
Passaporte eletrônico Brasileiro • Evolução
• Adoção do padrão ICAO a partir de 2007 • Programa de Modernização, Agilização, Aprimoramento
e Segurança da Fiscalização do Tráfego Internacional e do Passaporte Brasileiro (PROMASP)
• Novos elementos de segurança • Novo sistema de tráfego internacional
• Consultas SINPI, MIND, AFIS • Passaporte eletrônico (Mai/2009)
![Page 30: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/30.jpg)
Coordenação de Tecnologia da Informação – CTI
30
Passaporte eletrônico Brasileiro • Timeline passaporte eletrônico
• Maio 2009 - Início dos trabalhos • Julho 2009 – Parceria CMB • Dezembro 2009 – Projeto Básico • Agosto 2010 – Aprovação requisitos • Setembro 2010 – Modelo de dados • Outubro 2010 – Testes e correções • Novembro 2010 – Homologação • Dezembro 2010 – Pré-produção
• Lançamento oficial 08/12/2010 • Janeiro 2011 - Produção
![Page 31: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/31.jpg)
Coordenação de Tecnologia da Informação – CTI
31
Passaporte eletrônico Brasileiro • Características
• 3 tipos • Comum • Estrangeiro • Laissez-Passer
![Page 32: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/32.jpg)
Coordenação de Tecnologia da Informação – CTI
32
Passaporte eletrônico Brasileiro • Características RFID
• ISO/IEC 14443 – 13,56Mhz • Interface tipo “B” • Suporte a BAC, EAC, PA e AA • PKI (CS, DS, AA) • LDS
• DG1 – MRZ • DG2 – Face em JPEG 2000, 300 DPI, 90 pixels • DG3 – Fingerprint (WSQ , 500 DPI, duas digitais,
EAC)
![Page 33: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/33.jpg)
Coordenação de Tecnologia da Informação – CTI
33
Passaporte eletrônico Brasileiro • Características RFID
• LDS (cont.) • DG4 – Iris (vazio) • DG7 – Signature (vazio) • … • DG15 – Active Authentication Public Key • DG16 – Persons to notify
![Page 34: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/34.jpg)
Coordenação de Tecnologia da Informação – CTI
34
Passaporte eletrônico Brasileiro • Imigração automática no Brasil
• Sistema RAPID Português • Piloto com 2 cabines de imigração (e-gates) • Aeroporto de Brasília • Dezembro de 2010
![Page 35: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/35.jpg)
Coordenação de Tecnologia da Informação – CTI
35
Conclusões • Passaporte em constante evolução
• Prevenção de fraudes • Passaporte eletrônico como evolução de segurança
• Protocolos de segurança em constante evolução • Passaporte eletrônico permite novas aplicações
• Imigração automática • Visa eletrônico
• Passaporte eletrônico no Brasil em Jan/2011
![Page 36: Divisão de Informática - DINF Coordenação de Tecnologia da … · 2010. 11. 27. · Passporte ID Primário ID Sec. Número do Documento ... • Deriva chaves de sessão para comunicação](https://reader035.vdocuments.com.br/reader035/viewer/2022081601/6125858b74bc26491f1fd904/html5/thumbnails/36.jpg)
Coordenação de Tecnologia da Informação – CTI
Ivo de Carvalho Peixinho Perito Criminal Federal