电子护照可能被恐怖分子用来引爆炸弹

　　CNET科技资讯网8月8日国际报道 参加Defcon和黑帽安全会议的研究员指出，普遍用于大楼出入管制、高速公路电子收费系统和电子护照的无线射频识别(RFID)标签非常容易复制，具有严重的安全风险。

　　两场会议的与会研究员分别示范如何用笔记本电脑，搭配200美元的RFID识别器和同等价格的智能卡读写器，轻松复制RFID标签。此外，他们认为旅行文件内植的RFID标签可在

一定的距离外识别美国护照，可能会被恐怖份子用来引爆炸弹。

　　德国DN-Systems研究员Lukas Grunwald在黑帽大会上示范如何复制他个人护照上的RFID标签，然后将信息写入附有RFID芯片的智能卡上。拷贝的芯片可用来伪造护照。他接受CNET访问时表示：“我们把芯片设定成护照模式。”

　　未授权复制的威胁影响到数百万将于今年10月换发电子护照的美国民众。当初信誓旦旦地排除外界担忧，宣称RFID护照防伪功能较强的官员，如今也面临质疑。

　　Grunwald说他尚未找出电子护照信息加密与保护机制的破绽，换句话说，虽然可借由扫瞄复制RFID芯片，却不能变更其中所含的信息。Grunwald利用复制的海关检查站，读取芯片信息。

　　Grunwald表示，他花了“两星期和5,000美元律师费”完成这个计划，使用RFID识别器和一些自制软件。在4日的Defcon会议中，他也测试某些企业的门禁管制卡，同样复制成功。这代表攻击者也能利用这种方法进入有保全的大楼。

　　Grunwald说：“RFID的使用可以很安全，但特别是电子护照，其标准是妥协的结果，妥协就做不到安全。正确的作法需要大量研究，而那种研究目前并未完成。”Grunwald正准备创办一家以RFID安全为主的公司。

　　放眼全球，RFID标签几乎被各国政府视为护照防伪的答案。几个欧洲国家已赶在美国之前发出电子护照，民间支持者和若干安全专家都曾警告贸然改用电子护照的可能威胁。信息外泄是其中之一，在设计上，RFID标签可用识别器读取。

　　但无线安全公司Flexilis研究员Kevin Mahaffey指出，目前的设计只要护照稍微打开即可被侦测到。他说，虽然这样无法实际判读芯片上的信息，“攻击者只要有能力知道某人带着护照，就是一项严重的安全缺失。”

　　Mahaffey说，只要辨别RFID芯片的特征，就有可能确定护照持有者的国籍。他表示：“一个极端的情况是，这可能造成只有美国人在附近时，炸药才会引爆。”Mahaffey在黑帽大会上播放一段示范影片。

　　Flexilis建议，护照封面应加上双重防护和另一个特制的RFID标签，让护照在非全开的状态下无法被判读。为免信息外泄，Grunwald用一种德国制的铝片护照夹，据说可防止无线标签被读取。

　　此外，Grunwald表示，由于德国护照的RFID标签仍有一些问题，政府决定即使RFID标签失效，该护照仍可使用。德国黑客俱乐部The Chaos Computer Club想出一个有创意的解决方案，Grunwald说：“他们建议，就把护照放进