Washington (USA) – Il Dipartimento di Stato statunitense ha pubblicato le nuove normative riguardanti i futuri passaporti elettronici: dal prossimo ottobre 2006 i possessori delle versioni cartacee riceveranno in sostituzione ePassports con tecnologia RFID , in grado di trasmettere, in modalità wireless, le informazioni personali dei cittadini. In seguito saranno possibili ulteriori implementazioni come l’integrazione di informazioni biometriche (impronte digitali, scansione dell’iride ecc.).
La scelta della data è una presa di posizione dell’amministrazione Bush, che decide di accelerare nonostante i molti commenti negativi pervenuti da più parti sul progetto di passaporto elettronico e biometrico, alcuni dei quali giunti proprio dal Dipartimento di Stato, che dovrà occuparsi direttamente della gestione del progetto. Il timore più grande, evidenziato dagli esperti, riguarda le tecnologie di sicurezza – e protezione dei dati – che verranno adottate.
Numerosi ricercatori concordano sul fatto che un malintenzionato potrebbe essere in grado, facilmente, di captare i dati contenuti nei chip RFID dei passaporti . I primi dubbi erano stati espressi all’inizio dell’anno da RSA Security e dai tecnici della Johns Hopkins University , quando erano stati compiuti una serie di test sui nuovi sistemi di pagamento a radio frequenza. Era evidente che in qualsiasi ambito di utilizzo questa tecnologia non avrebbe potuto disporre di un sufficiente livello di sicurezza.
Il Dipartimento di Stato, rispondendo a queste critiche, ha pensato bene di inserire all’interno delle specifiche l’adozione di una custodia protettiva che dovrebbe essere in grado di evitare lo scanning a distanza. Il problema, secondo i tecnici, è che un reader potente è in grado di catturare le informazioni anche a circa cinque metri. Insomma, un professionista con un’attrezzatura valida potrebbe aggirare facilmente ogni tipo di custodia.
“La custodia degli ePassport una volta chiusa rende la lettura del chip molto difficile. Per questioni di sicurezza non possiamo divulgare le sue specifiche tecniche”, ha dichiarato un portavoce del Dipartimento di Stato. Intanto il National Institute of Standards and Technology sta valutando i livelli di protezione del chip, e non si è ancora espresso ufficialmente.
“Certamente l’adozione di questa particolare custodia è un inizio. Hanno deciso di proteggere i chip RFID concretamente, ma quando si apre la copertina che succede? E’ meglio di niente, ma perché assumere questo rischio?”, si è chiesto Bill Scannell, sostenitore della campagna per la privacy e fondatore di RFIDkills.com .
Anche il problema del tracciamento dei possessori di ePassport è al centro di discussioni. Alcune associazione sembrerebbero già sul piede di guerra. Il Dipartimento di Stato per rispondere a questo ulteriore “attacco” ha scritto sulle linee guida al nuovo documento: “(…) i passaporti dotati di chip RFID non permetteranno il tracciamento degli spostamenti delle persone. Verranno utilizzati solo ed esclusivamente dalle autorità per identificare i possessori con maggiore sicurezza, rispetto al passato (…)”.
L’obiettivo, secondo l’amministrazione Bush, sarebbe quello di disporre di una soluzione che possa diventare uno standard internazionale, che possa essere approvato dalla International Civil Aviation Organization . Una scelta decisamente azzardata secondo RSA Security e University of California, soprattutto dopo l’ennesima serie di test compiuti questa volta sul sistema di cifratura utilizzato, ovvero il “Basic Access Control”. Un metodo che obbliga i reader a superare una fase di autenticazione prima di poter ricevere i dati trasmessi dai chip. Una tecnica insufficiente, come documentato dai ricercatori Ari Juels, David Molnar e David Wagner: l’utilizzo di una sola chiave cifrata e per di più fissa sembrerebbe decisamente troppo vulnerabile . Tanto più che solo la trasmissione dei dati sarebbe cifrata: sul chip non sarebbe presente alcuna protezione.
Tutto questo ha portato la Electronic Frontier Foundation , ed altre associazioni, a mettere in discussione il diritto del Dipartimento di Stato a portare avanti una simile iniziativa: “La nostra opinione è che il Congresso abbia dato il permesso di rinnovare i passaporti, ma senza arrivare a tanto. Questa rivoluzione tecnica probabilmente avrebbe bisogno di un’ulteriore autorizzazione congressuale. Il Governo, in verità, quanto può spingersi avanti senza dover rispondere agli enti di controllo ? Per ora nessuno lo sa”. Intanto è dato per certo il primo test pilota che coinvolgerà gli impiegati del Governo: dovrebbe iniziare nei primi mesi del 2006.
In Europa sebbene la questione degli ePassport sia ancora dibattuta, i garanti della privacy hanno già dato il loro parere sul rapporto fra privacy e RFID. Ma proprio di recente dalla UE sono pervenuti segnali di attesa , indicando ancora una volta una maggiore propensione alla riflessione della UE rispetto agli USA su questo delicatissimo fronte.
Dario d’Elia
Ti potrebbe interessare
27 ott 2005