You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2006-14

Petri Kosonen

Tietoyhteiskunta: Britannian biometriset henkilökortit

Johdanto

Tämän harjoitustyön aiheena ovat Iso-Britannian biometriset henkilökortit. Tässä harjoitustyössä tullaan aluksi esittelemään nämä Iso-Britannian biometriset henkilökortit, jotta lukijalle muodostuu perustietämys käsiteltävästä aiheesta. Tärkeimpänä asiana tässä harjoitustyössä tarkastellaan Iso-Britannian biometrisia henkilökortteja turvallisuuden näkökulmasta. Tarkoituksena on käsitellä myös englantilaisten asenteita ja erilaisia kulttuurikysymyksiä, jotka liittyvät tähän uudistukseen. Lopuksi tarkastellaan lyhyesti ICAO:n suosittelemia biometrisia passeja ja sitä miten ne liittyvät Iso-Britannian passiuudistukseen.

Biometristen henkilökorttien esittely

Iso-Britannia on aktiivisesti ajanut uusien kansallisten biometristen henkilökorttien ja passien uudistusta. Iso-Britanniassa on kuitenkin vasta tänä vuonna hyväksytty laki, joka on antanut hallitukselle valtuudet julkistaa passi- ja henkilökorttiuudistuksen vaiheittain lähitulevaisuudessa. Yhden biometrisen passin ja henkilökortin yhdistelmän kustannukset arvellaan olevan noin 93 puntaa, mutta siitä ei ole vielä varmaa tietoa kuinka paljon Iso-Britannian kansalaiset joutuvat tästä maksamaan. Hallituksen mukaan kokonaiskustannukset ensimmäisen 10 vuoden aikana tälle hankkeelle ovat noin 5.8 miljardia puntaa, mutta muiden lähteiden tekemät arviot ovat olleet jopa 10-20 miljardin luokkaa.

Biometriset henkilökortit on tarkoitettu vähintään 16 vuotta täyttäneille Iso-Britannian kansalaisille. Näitä uusia henkilökortteja saa vapaaehtoisesti vuodesta 2008 alkaen. Kuitenkin 01.01.2010 alkaen uudet biometriset henkilökortit ovat pakollisia jokaiselle 16 vuotta täyttäneelle Iso-Britannian kansalaiselle, jotka hakevat uutta passia tai uudistusta siihen.

Muiden maiden kansalaiset, jotka haluavat vierailla Iso-Britanniassa, joutuvat vuodesta 2008 eteenpäin hakemaan biometrista visaa. Tällöin heidänkin tiedot tallennettaan kansalliseen tietokantaan. Enemmän kuin kolme kuukautta maassa vierailevat ulkomaalaiset joutuvat hakemaan biometrista henkilökorttia. [20]

Biometrisiin henkilökortteihin tallennetaan perustiedot omistajasta: kuva, nimi, syntymäpäivä, asuinpaikka ja sukupuoli. Uusissa henkilökorteissa ja passeissa on sisällään myös mikrosiru, johon tallennetaan tiedot omistajan kasvo-, iiris-, sormenjälkitunnisteista. Teoriassa sirulle voitaisiin tallentaa paljon muitakin biometrisiä tunnisteita.

Biometrisen henkilökortin hakeminen

Tällaisen kortin hakemiseksi hakijan tulee olla yhteydessä Identity and Passport Serviceen (IPS). IPS:n toimeenkuvaan kuuluu ensinnäkin haastatella jokainen hakija ja varmistua hänen henkilöllisyydestään. Tähän haastatteluun varataan aikaa noin 10-20 minuuttua. Henkilöllisyyden varmistamisen jälkeen IPS suorittaa automatisoiduilla laitteilla tarvittavat mittaukset hakijasta. Mittauslaitteisto ohjaa automaattisesti hakijaa, jotta hänestä saadaan mahdollisimman virheettömät mittaustiedot ylös. Lopuksi osa näistä tiedoista tallennetaan biometriselle kortille sekä osa NIR tietokantaan.

NIR tietokanta

Biometrisiin henkilökortteihin liittyy oleellisena osana tietokanta, National Identity Register (NIR). NIR tietokanta tulee sisältämään jokaisesta kansalaisesta alustavasti 50 erilaista tietoa, joista 10 on sormenjälkiä, digitalisoidut tiedot kasvojen ja iriksen skannauksesta, entinen ja nykyinen sekä ulkomailla olevat asuinpaikat koko hakijan eliniän ajalta ja indeksointeja hallituksen muihin tietokantoihin. Myös biometristen passien uudistaminen tai hakeminen tullaan tallentamaan näihin tietokantoihin. Täältä löytyy täsmällisempi listaus siitä, mitä NIR tietokanta tulee sisältämään.  Hyväksytty laki mahdollistaa tulevaisuudessa myös muunlaisten tietojen tallentamisen tähän tietokantaan.  NIR tietokannan ja biometrisen henkilökortin roolit henkilöllisyyden varmistamisessa tulevat vaihtelemaan sen mukaan mitä varmempaa tietoa halutaan saada. Seuraavat käyttöskenaariot kuvaavat paremmin tätä.

Käyttöskenaario

Henkilön tunnistaminen voidaan tehdä eri tasoilla. Tarvittava tunnistamistaso riippuu sen tekevästä organisaatiosta ja erityisesti sen tarpeesta saada enemmän tai vähemmän varmaa tietoa, että henkilö on sama kuin mitä hänen henkilökortissaan lukee.

Korkeimman tason tunnistamista kuvaa seuraava käyttöskenaario: Jonkin yhtiön, esimerkiksi vaikka pankin tulee olla mahdollisimman varma henkilön identiteetistä. Prosessi lähtee liikkeelle siitä, että pankki lukee henkilön biometrisesta henkilökortista hänen henkilökohtaisen IRN (Identity Registration Number) numeronsa. Seuraavaksi henkilöstä mitataan pankin omilla biometrisella mittalaitteella tunnistetietoja. Pankki vertaa kortilla olevia biometrisiä tunnistetietoja ja mitattuja tietoja toisiinsa. Tämän perusteella on tarkoitus saada tieto, onko kyseinen henkilö sama kuin minkä tiedot ovat kortilla. Tämän jälkeen pankki lähettää NIR palvelimelle nämä tiedot ja palvelin vastaa, että vastaako lähetetyt ja tietokantaan tallennetut tiedot toisiaan. [7]

Keskitason tunnistaminen, joka saattaa tulla useimmilla tahoilla käyttöön, voidaan toteuttaa seuraavasti: Henkilö antaa henkilökorttinsa ja tämän jälkeen häntä pyydetään syöttämään päätteellä hänen oma PIN-numeronsa (Personal Identification Number), jota sitten verrataan kortille tallennettuun arvoon.

Biometristen henkilökorttien edut ja haitat

Biometrisilla henkilökorteilla tavoitellaan muun muassa entistä parempaa kansalaisten turvallisuutta, ne vähentävät identiteettivarkauksia ja niiden vaikutuksia, ne estävät laitonta työskentelyä ja kehittävät maan rajanhallintaa. Käytännön toteutus, seuraukset ja motiivi epäilyttävät kuitenkin monia. Seuraavissa kappaleissa kuvataan tarkemmin niitä hyötyjä ja haittoja mitä on arvioitu aiheutuvan henkilökortti- ja passiuudistuksen myötä.

Biometristen korttien hyvät puolet

  • Henkilökorttien taustalla vaikuttaa voimakkaasti terrorismin ehkäisy. Uusien henkilökorttien avulla pyritään estämään terroristeja ja järjestyneitä rikollisyhteisöjä käyttämästä virheellisiä tai useita henkilöllisyyksiä. Tästä on myös esitetty vastaväitteitä, joita käsittelen seuraavassa aliluvussa.
  • Iso-Britannian pääministerin Tony Blairin mukaan uudet biometriset henkilökortit ovat ainut toimiva tapa jäljittää laitonta maahanmuuttoa ja ehkäistä järjestäytynyttä rikollisuutta. Henkilöllisyyden todentaminen nähdään siis merkittävänä tekijänä näiden ehkäisemiseksi.
  • Uusien henkilökorttien avulla työnantajat voivat varmistua siitä, että työntekijät saavat lain mukaan tehdä töitä.
  • Identiteettivarkauksien tekeminen on entistä vaikeampaa sekä näistä aiheutuvat vahingot ovat entistä pienemmät.
  • Iso-Britannian hallituksen mukaan uudet henkilökortit lisäävät yhteistä kansallisuuden tunnetta.
  • Uudistus estää kansallisen terveydenhuollon ja muiden hallituksen ajamien projektien laittoman käytön, sekä
  • tehostaa tiettyjen yksityisten ja julkisten sektorien tahojen toimintaa [4]

Biometristen henkilökorttien kritiikki

Iso-Britannian biometristen henkilökorttien kritiikkiä on mediassa käsitelty selvästi niiden tuomia etuja enemmän. Koko uudistusprojekti onkin kuvattu "loser"-hankkeeksi sen ontuvan tietoturvallisuuden ja muiden ongelmien vuoksi. Tässä harjoitustyössäkin keskitytään analysoimaan näitä mahdollisia ongelmia, eritoten tietoturvaongelmia.

Lähdetään aluksi liikkeelle analysoimalla biometristä henkilökorttia, jota ihmiset kantavat mukanaan. Yhdelle kortille on talletettu ihmisestä erilaisia tietoja ja biometrisiä tunnisteita. Mikäli tämä kortti hukkuu tai se varastetaan on mahdollista, että nämä tiedot leviävät, koska se on täysin mahdollista, että näitä kortinlukulaitteita pystytään hankkimaan tai valmistamaan. Tämä taas johtaa siihen, että ulkopuoliset pääsevät käsiksi tähän tietoon ja he voivat vaikka kopioida sitä. Vaikka kortilla oleva tieto salataan, on salauksen murtaminen hyvinkin mahdollista. Toisaalta sekä kortilla, että tietokannassa olevien tietojen muuttaminen onkin haastavampi operaatio.

Epäilyksiä herättää myös valtavan kokoinen NIR tietokanta. Maailmassa ei luultavasti ole ainuttakaan yhtä massiivista tietokantaa joka sisältäisi näin  arkaluonteisia ja yksityisiä tietoja. Jos joku pääsee palvelimelle murtautumaan, saa hän tietoonsa ihmisistä hyvinkin monenlaista tietoa. Tällöin siis tietojen luottamuksellisuus vaarantuu. Maailmassa on tuskin kovin montaa tietoteknistä järjestelmää, johon ei ole pystytty murtautumaan. Kun on kyse näin kriittisistä tiedoista ja joita säilytetään samassa paikkassa, niin tämä varmasti herättää monen hakkerin kiinnostuksen.

Myös erilaiset DoS-hyökkäykset tai laitteistorikot voivat pistää palvelimen matalaksi tai aiheuttaa eheysongelmia. Voi vain kuvitella millaiset seuraukset ja ongelmat voivat olla, jos palvelin ei ole toiminnassa vaikka yhden päivän ajan. Tämä on siis vakava tietojen saatavuusuhka.
Systeemiä on kritisoitu paljon yksityisyydensuojan menettämisestä. Massiivinen NIR tietokanta sisältää siis valtavia määriä henkilökohtaisia tietoja, jota hallituksella on mahdollisuus käyttää erilaisiin tarkoituksiin. Antaako tämä pikkuhiljaa luvan tehdä "entistä tarkempia" kansalaistutkimuksia? Monet pelkäävät "isoveli valvoo"-ongelmaa.

Entäpä monet biometriset laitteet, jotka keräävät henkilöistä tietoja? Kysymyksiä herää siitä, että onko nämä laitteet mahdollista tehdä niin hyvin, että ne kestävät näin valtavien ihmismassojen tarkan tunnistamisen. Pienetkin virheet mittauksissa voivat johtaa henkilöllisyyden todentamisongelmiin. Toistaiseksi tähän ei ole keksitty ratkaisua. Toinen tähän liittyvä valtava ongelma on myös se, että kaikilta ihmisiltä ei edes voida ottaa kaikkia vaadittavia biometrisiä tunnistetietoja. Esimerkiksi arviolta yhdeltä ihmiseltä 70 000:sta ei voida mitata iristä ja yheltä ihmiseltä 1000:sta ei saada sormenjälkeä. [12]

Iso-Britannian biometriset henkilökortit ja passit eivät välttämättä toimi lainkaan muissa maissa. Tämä ongelma ilmenee erityisesti, jos eri puolilla maailmalla otetaan käyttöön toisistaan erilaisia henkilökortti- ja passijärjestelmiä. Eli vieraaseen maahan tuleminen tai sieltä lähteminen saattaa olla ongelmallista, jos aikoo turvautua uusien biometrisen passien käyttämiseen. Tämä on englantilaisille selkeä ongelma kaikenlaisen matkustamisen kannalta. Esimerkiksi, jos passi ei toimi USA:ssa, niin sinne matkustava englannin kansalainen joutuu hakemaan viisumia. Tämä taas tekee matkustamisesta hankalaa.
Uudet henkilökortit eivät välttämättä vaikuta mitenkään terrorismiin. Tutkimuksissa ei ole tunnistettu mitään korrelaatiota terrorismin ja uuden henkilökorttijärjestelmän välillä. Osa terroristeista operoisi jokatapauksessa oikean identiteettinsä turvin. Terroristeilla on nykyisin myös niin laajat verkostot, että heille ei ole mitenkään mahdottomuus valmistaa tekaistuja kortteja itselleen. [3] [4] [17]

Laittomiin työntekijöihin uusilla henkilökorteilla ei ole suurta vaikutusta. Koska työnantajan ei ole pakko hyödyntää tätä teknologiaa ja koska tarkastuslaitteisto vaatii investointeja, on suuri mahdollisuus, että koko uudistusta ei hyödynnetä muualla kuin julkisen tahon toimipisteissä. Myös mikäli työnantaja on jo entuudestaan valmis palkkaamaan laittomia työntekijöitä (eli rikkomaan lakia), ei uudistus tuo tämän ongelman ratkaisuun mitään uutta. Toisaalta on myös pelkona, että tietyt kansalaisryhmät voivat joutua normaalia tarkempaan syyniin tullessaan töihin. Tällainen toiminta syventäisi eri ihmisryhmien välistä kuilua.

On myös mahdollista, että uudistus "pakottaa" laittomat maassaolijat välttämään sairaaloita ja poliisia.

Mikään ei myöskään täysin poissulje sitä mahdollisuutta, että IPS:n tekemä henkilöllisyystarkastus epäonnistuu. Mikäli näin kävisi, tämä johtaisi osittain tekaistuihin biometrisiin henkilökortteihin ja passeihin. Ainoastaan biometriset tunnisteet olisivat tällöin ainut oikea tieto kortilla ja tietokannassa.

Koko uudistushanke on kaikenkaikkiaan todella kallis projekti, joka ei kuitenkaan takaa mitään varmoja tuloksia.

Iso-Britannian Biometristen henkilökorttien kulttuurikysymykset

Englantilaisten asenteet uusia biometrisiä henkilökortteja kohtaan on pudonnut vuosien varrella. 9/11 tapahtuman jälkeen kannatus oli huipussaan 85%:n luokkaa, mutta tällä hetkellä kannatus on noin 52%. Helmikuussa 2006 YouGov:n tekemä kysely osoitti lisäksi seuraavia mielenkiintoisia tuloksia:

80% uskoi terroristien ja rikollisten löytävän keinon väärentää näitä henkilökortteja
63% uskoi, että uudistus ei vähennä terroristien hirmutekoja Iso-Britanniassa
71% uskoi, että henkilökortilla olevia tietoja päästään väärinkäyttämään
Lisää tutkimustuloksista voi lukea täältä.

Uudistuksen yhtenä päätavoitteena on havaita ja ehkäistä laitonta maahanmuuttoa ja terrorismiä. Hallituksen kannustaessa poliisia tekemään entistä enemmän ratsioita tämän perusteella, tummaihoiset ja aasialaiset pelkäävät joutuvansa erityiseksi kohderyhmäksi. Pidemmällä aikavälillä tämä saattaa johtaa rotusyrjintään ja tiettyjen ihmisryhmien turhaan häirintään.

Toisena pelkona on, että tietyt ihmisryhmät jotka joutuvat matkustamaan ja joilla on pienet ansiot (esimerkiksi pakolaiset) leimataan lain mukaan pian rikolliseksi, koska heillä ei yksinkertaisesti ole varaa maksaa rekisteröintimaksuja.

ICAO:n suosittelemat biometriset passit

ICAO eli International Civil Aviation Organisation on YK:n alainen kansainvälinen siviili-ilmailujärjestö. Käytännössä ICAO:ssa tarkoituksena on muun muassa kehittää kansainvälisen ilmailun periaatteita ja tekniikkaa sekä edistää lentoturvallisuutta. [13] Se miten ICAO liittyy tähän harjoitustyöhön perustuu siihen, että ICAO on luonut suositukset uusille biometrisille passeille, joita noudatetaan Iso-Britannian passiuudistuksessa. Kaikki maat, jotka liittyvät US waiver-ohjelmaan (VWP, viisumivapaus-ohjelma) joutuvat noudattamaan ICAO:n suosituksia. Mikäli näitä suosituksia ei noudateta tai kansalaisella ei ole koneluettavaa passia, joutuu USA:ssa vieraileva henkilö hakemaan viisumia. VWP:stä ja siihen kuuluvista maista voi lukea lisää täältä. Näiden maiden joukossa ovat muun muassa Suomi ja Iso-Britannia. Asiasta tekee erityisen mielenkiintoisen se, että USA:n hallitus on päättänyt olla laittamatta RFID sirua uusiin USA:n passeihin, joka taas on vastion ICAO:n suosituksia. [21]

ICAO:n suosittelemiin biometrisiin passeihin voidaan tallentaa henkilön perustietojen lisäksi kasvojen, sormenjälkien ja iiriksen biometriset tunnistetiedot. Tiedot tallennetaan RFID-sirulle joko salattuna tai salaamattomana. ICAO on määrittänyt, että järjestelmässä on mahdollista käyttää digitaalista allekirjoitusta ja asymmetristä PKI:tä, jotta voidaan varmistaa tallennettujen tietojen eheys ja henkilön autenttisuus. [16]

ICAO:n biometriset passit tietoturvan kannalta

Hollantilaisen Yliopiston turvallisuusryhmä on tehnyt tutkimuksia tällaisista biometrisista passeista. Tutkimuksessa selvisi seuraavia tietoturvallisuuteen liittyviä ongelmia:

1) Passeissa olevaa RFID-sirua pääsee lukemaan etäältä haltijan tietämättä. Oli tämä tieto salattua tai ei, aina on mahdollisuus siihen, että tämä päästään murtamaan.
2) Ulkopuolisen on mahdollista salakuunnella passin RFID:n ja sen lukulaitteiden välistä tietoliikennettä. Tietoliikenne lukulaitteen ja RFID sirun välillä salataan 3DES:llä, mutta tämäkin on jo onnistuttu purkamaan useammassa maassa, lähinnä huolimattoman avaintenhallinnan takia.
3) Passista on myös mahdollista valmistaa kopioita
4) Ei ole myöskään poissuljettu ns. takaporttien mahdollisuutta [14]

Hollannissa on onnistuttu murtamaan biometrisessa passissa ollut salaus. Korttia oli pystytty lukemaan jopa 10 metrin päästä vaikka IPS:n mukaan lukuetäisyys on maksimissaan muutama senttimetri. Myös Iso-Britanniassa oli onnistuttu kaivamaan biometrisesta passista tietoja ulos varsin vaivattomasti. Iso-Britannian tapauksessa käytettiin hyödyksi kaupoista löytyvää RFID lukulaitetta, bluetooth antennia ja kannettavaa tietokonetta. Testissä pystyttiin siirtämään tietoja passista 10 metrin päähän ja tällöinkin jopa kahden seinän ollessa välissä. Myös täältä voi käydä lukemassa erään saksalaisen turvallisuusasiantuntijan näkemys siitä kuinka helppoa RFID-sirun sisältämät passit on kloonata. [11] [19]

IPS on tehnyt oman kannanottonsa Hollannissa tehtyyn suojauksen murtoon. IPS:n mukaan kyseinen passi oli vasta testiversio joka ei vielä toiminut säännösten mukaan, murtajilla oli hallussaan kortista selkeästi enemmän (tietoturva)tietoja joita normaalisti ei ole valmiiksi saatavilla ja, että kyseessä oli laboratorio-olosuhteet jotka eivät käytännön tiloissa päde. Tietoturvan kannalta on hyvä asia kuulla, että IPS:n mukaan biometrista passia ei pysty lukemaan sen ollessa suljettuna Basic Access Controllin vuoksi. [9] Kaiken kaikkiaan IPS:n väitteet järjestelmän turvallisuudesta ovat välillä hyvinkin ristiriitaisia edellä mainittujen ongelmien kanssa. Ulkopuolisen on vaikea sanoa kumpi taho on oikeassa.

Yhteenveto

Henkilökorttien ja passien uudistusprosessi Iso-Britanniassa näyttää olevan hyvin ongelmallinen. Maailmalla on ilmennyt paljon kysymyksiä ja pelkoja järjestelmän tietoturvallisuudesta ja sen käytännön hyödystä ja tehokkuudesta. Uusia kysymyksiä syntyy kokoajan lisää. Näihin tietysti uudistuksesta vastuussa olevat tahot pyrkivät vastaamaan. Suurimpana ja pahimpana ongelmana näkisin sen, että luultavasti ennemmin tai myöhemmin järjestelmästä löydetään aina jokin uusi tietoturvaongelma, johon ei olla varauduttu. Kysymykseksi silloin tulee, että miten ongelma pystytään järkevästi korjaamaan. Koko henkilökortti- ja passikannan uusiminen tällöin ei kuulosta järkevältä ratkaisulta.

Lähteet

Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 06 Oct 2009 - 01:39:44 - JuhaPitkaenen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback