martin.paljak.pri.ee.

Eestis, nagu paljudes teistes riikides, on kasutusel passid koos biomeetrilise infoga RFID kiibil. Praegu veel ainult näolapp kuid selle aasta maikuus peaks kiibile lisanduma ka sõrmejäljed EDIT: Kodakondsus- ja Migratsiooniameti uudis: 29.06.2009 Tänasest kantakse reisidokumentidesse digitaalsed sõrmejäljed.

Minu käest on tihti küsitud, et kuidas lugeda ID-kaardi kiibilt (kus sees on aga ainult vahendid digitaalseks isikutuvastuseks ja allkirjastamiseks) kaardil olevat pilti. Küllap on ID-kaardi puhul pilti ja kiipi koos nähes lihtsam tekkima valearvamus, et see pilt ka sellelt va kiibilt loetav on. Erinevalt ID-kaardist ei ole passi sees olev kiip silmaga nähtav ja ei saa ka selle nähtamatu kiibi abiga internetipanka logida. Küll aga on selle peidus oleva kiibi sees olemas ilus värviline pilt passiomanikust.

Järgneva retseptiga saab kodustes tingimustes selles ise veenduda.

Vaja läheb:

• 1 Linuxiga x86 arvuti (Ubuntu 8.10)
• 1 ACR122 RFID lugeja (osta näiteks siit)
• java6, pcscd, ccid tarkvara (sudo apt-get install sun-java6-bin pcscd libccid)
• 1 biomeetriline pass

Kuidas valmistada:

1. Tiri endale JMRTD (Java MachineReadableTravelDocument) tarkvara aadressilt jmrtd.org (vali platform independent JAR file: jmrtd_installer.jar)
2. Paigalda JMRTD: java -jar Desktop/jmrtd_installer.jar
3. Käivita JMRTD: ~/JMRTD/jmrtd.sh
4. Vali “Add” ja sisesta enda passi number, enda sünnikuupäev ja passi kehtivuse aeg (see on Basic Access Control ehk BAC):
   
5. Aseta enda pass lugejale ja oota kümmekond sekundit. Passist loetakse kõik andmed, sealhulgas pilt:
   

---

Rohkem lugemist e-passis olevast RFID kiibist:

• RFID kasutusvõimaluste analüüs ning soovitused eesti ID-kaardi
  täiendamise kontekstis (via Tanel Tammet)
• KOMISJONI OTSUS,
  millega nähakse ette liikmesriikides väljaantavate passide ja reisidokumentide
  turvaelementide ja biomeetria standardeid käsitlevad tehnilised kirjeldused
  

EDIT 10.08.2009: Lisatud viide BAC-ile ja mig.ee uudisele.

Hull lugu:
Debiani insenerid suutsid pekki keerata enda OpenSSL-i paki nii, et pea kõik genereeritud tarkvaralised võtmed OpenSSL (ja seega ka OpenSSH) puhul on lihtsasti arvutatavad ja tuleb välja vahetada. Administraatoritele tükk tööd. Lähemalt kirjutab slashdot.

Kuid edasi:
Internetis surfides võib leida dokumendi, kus räägitakse Eesti e-valimiste hingeelust ja tõsiasjast, et see on ehitatud “stabiilse&turvalise” Debiani peale. Kui nüüd natuke fantaseerida ja eeldada, et e-valimiste süsteem, mis on ehitatud Debiani peale, kasutas aastal 2007 enda mingiks toiminguks OpenSSL-i juhuarvude generaatorit, siis …. aiai ühesõnaga

Tegelikult aga olukord e-valimistega tõenäoliselt nii hull ei ole. Spetsiifilise e-valimiste tarkvara jaoks kasutati küllap “käsitsi” kompileeritud OpenSSL-i (kui üldse) ning sellise tasemega lahenduse puhul on kõik olulised võtmed riistvara sees peidus ja seal ka genereeritud (sealhulgas ka ID-kaardi võtmed) ja seega väljaspool ohtu. Aga mõni keskerakondlik leheneeger või muidu ignorantne väljamaa uudisegeneraator saaks siin kõvasti FUD-i genereerida ja päris meedias suure pasunaga selle postituse pealkirja kasutada.

Ise kavatsen otseloomulikult ka järgmisel aastal e-valida, nagu ka kahel eelneval korral. Soovitan Sul, kallis lugeja, mitte alluda tagurlaste provokatsioonile ja teha ise sama!