电子护照中的RFID芯片是只读的还是可读写的？

63

如果是只读的，那么签发护照时是否所有数据都被锁定？只读部分是否可扩展，以便以后可以刻录其他数据？

如果是可读写的，可以在我们通过的任何国家/地区的护照国家/地区输入或更改护照中的数据吗？例如，记录进入和离开？

更新：我问有两个原因。首先是我回想起申请护照时唯一提供的生物特征识别信息是我的照片，我想知道我的政府以后是否可以添加其他生物特征识别信息（虹膜扫描，指纹识别）–对我来说是众所周知的，或者是秘密的。边境站。#tinfoilhat

其次，我想知道外国政府是否可以在我的护照上添加入境或出境或签证电子标签，尤其是在通过自动登机口时。

passports biometric-passports

— 罗伯·卡伦
source

1

有一个国际民航组织标准，规定了这种护照的技术特征。答案可能在那儿。

— Nate Eldredge

3

为什么需要对它进行读/写？您需要的只是护照号码，然后其余的可以存储在政府云服务器中。

— 斯图尔特

5

@Stewart这些芯片上不仅有护照号码（坦白地说，如果存储了所有护照号码，它们将毫无意义）。您可以使用支持NFC的手机进行试用。

— Lightness Races in Orbit

2

同样，政府的概念是使用云来存储移民/公民数据。也许您只是说“服务器”。

— Lightness Races in Orbit

4

@Stewart“这在处理500名疲倦的人下飞机时非常有用”：许多国家/地区在乘客办理登机手续时开始处理乘客的数据，因此这不是一个密集的过程。“生物识别数据可以在服务器上”：政府服务器不必互相通信。签发护照的国家可以将生物识别信息保存在其服务器上，但是在大多数情况下，所输入的国家将无法访问这些服务器。

— phoog

68

TL; DR：这很复杂，但是出于实际目的，当前的电子护照是只读的。

长版：电子护照规范包含两种类型的数据。

专用文件（DF）是可写的，意在将来存储签证和各种授权。但是，目前尚未使用此功能，那里的大多数电子护照甚至都不包含此功能。
目前正在使用的是逻辑数据结构（LDS），它存储生物识别信息等，并且在设计上是只读的。任何能够访问存储在护照的机器可读部分（底部的可滑动位）中的密钥的人都可以从此处读取数据，并且该数据已进行电子签名，因此任何阅读该文件的人都可以确认内容未被篡改。

在实践中，电子护照是使用EEPROM存储器实现的，该存储器可扩展为有点自相矛盾的电可擦可编程只读存储器。出于实用目的，它们是只读的，临时读者不能进入那里进行更改或添加任何内容。

值得注意的是EEPROM也可以擦除，因此可以擦除内容并从头开始重写。但是，由于EEPROM通常可以被锁定/“冻结”以防止任何进一步的更改，因此任何攻击者都需要解决此问题。而且，由于LDS内容是经过数字签名的，因此，如果恶意国家或地区的代理商要获得访问权限并擦除和重写它们，他们还需要提供一个新的有效签名，而没有原始发行者的私钥就无法做到这一点。。他们可以重新对您的Sylvanian护照芯片进行编程，以返回由Borduria签名的数据，但是我认为这很容易被发现，因为它现在与机器可读的条码所说的不同步。这也是为什么原籍国即使在技术上也不会更改芯片上任何数据的原因，因为它现在冒着使护照上实际打印的信息与护照上的数字副本不同步的风险。

有关该主题的更多阅读内容：https : //www.researchgate.net/publication/221406395/download（免费PDF下载）

为清楚起见，请编辑：我不主张这能使电子护照安全或防篡改。但是，如果问题是“在通过移民时我访问的国家是否是在电子护照中记录的东西”，那么答案无疑是“否”。

— 帕托帕尔
source

评论不作进一步讨论；此对话已转移至聊天。

— Willeke

5

符合ICAO doc 9303规范的护照使用了符合ISO 7816的智能卡，从广义上讲，它不仅是存储设备，而且是微型计算机。

可以将对其存储部分的读取或写入访问限制为仅经过正确身份验证的实体。

查看规范的相关部分（参考的ICAO站点的第10和11部分），似乎仅存在与读取基本数据，对旅行证件进行密码认证或对文件的阅读器进行认证以访问敏感信息有关的命令。像指纹

没有任何命令来实际修改智能卡上的数据，就不可能这样做。

当然，签发国可能会执行其他命令，例如为了在签发后更正信息。但是，此类命令（即使它们确实存在）很可能需要对读取器进行身份验证，然后才能授予对存储的任何写或删除访问权限。

关于发行人在发行后添加生物识别数据的具体问题，在规范中似乎允许这样做：

只有签发国或签发机构对这些数据组具有写访问权。因此，没有互换要求，实现写保护的方法也不属于本规范的一部分。

由于规范中没有关于对一般可写区域的写访问的任何内容，因此似乎由发行国来指定对这些存储区的访问特权（用于读取或写入）。

理论上，各国当然可以就访问国际民航组织规范之外的这些可选存储区域的命令达成一致，但是我认为这种可能性很小：

如果要交换旅行数据，为什么不进行带外交换，例如通过服务器端系统传递护照号码进行交换？这似乎更简单，更有效。

— gr
source

2

此外，据我所知，尽管许多国家已将拥有生物特征护照作为（轻松）入境的条件，但没有一个国家要求其有效。

— origimbo

3

仅仅为了回答“锡箔帽子”方面的问题，标准并不能阻止一个国家制造除标准之外还具有其他功能的护照和阅读器。

因此，一个国家可以轻松地签发护照，例如记录出入境记录或将该国边境管制局最近拍摄的照片存储在您的护照中。护照也可以存储其他国家的边境管制信息，即使外国边境管制设备没有积极地向其写信（感谢@jcaron）。当您返回自己的国家/地区时，此信息可能会被读出，并用于估计您旅行期间访问过多少个国家/地区。如果这些国家/地区访问了需要主动身份验证的信息，则也可能知道您访问了哪些国家/地区。

— 德米特里·格里戈里耶夫（Dmitry Grigoryev）
source

并且信息将随护照一起丢失（如果丢失，销毁……），而服务器上的信息将保留。但是，他们可能可以做的是记下访问护照的记录，并在您回到“家”时阅读信息。不确定是否有办法检测哪个国家正在阅读护照？在这种情况下，他们可以知道您访问过哪些国家（前提是这些国家实际使用了RFID芯片）。

— jcaron

2

@jcaron仅当读取受EAC保护的字段（即“敏感”字段，如指纹或其他生物识别信息）时才有可能。仅通过使用MRZ作为密钥（BAC）来保护“公共”数据，这不允许识别读取者。（同样，如果读者自愿公开其身份，则可以自由地这样做；但是，它也可以向发行国报告其身份和服务器端的护照号码。）

— lxgr

3

签发国@lxgr可能想知道其公民的去向，而不会让被访问国知道他们记录了这一情况。与在移民服务之间建立互连以将数据传输回发行国相比，读取芯片时也要容易得多。

— jcaron

-2

我坚信黑帽子将永远赢。黑客最终破坏了所有已知的加密和数据保护协议。希望是，有了白帽子的任何重要事物都可以更新并领先于黑帽子，但由于其制度像国际条约和移民管制一样缓慢而昂贵，白帽子不可能永远领先。甚至您数据的数字签名部分也很有可能最终被分解。

护照在美国持续了10年，想象一下10年前的计算和加密是什么样子，而20年前标准滞后开始生效又如何呢？鉴于此页面上的其他答案，这些都是读写的，或者很快就会解决。

— 山姆
source

1

我认为您大大低估了使用加密算法的时间。AES于20年前首次发布，并于17年前被NIST采用。Diffie-Hellman密钥交换算法于1976年发布。加密算法使用了很多年，以至于处理器具有专门用于加速特定算法的内置指令甚至很常见。

— reirab

2

@reirab，蓝光和hd-dvd密钥要花多长时间？

— 山姆

1

@TobiaTesan Wiki：AES指令集。如果您想要一个特定的三元组：（具有AES-NI，AES，

— AESENC的

4

@Sam泄漏密钥和破坏加密算法是两个非常非常不同的事情。

— reirab

3

@reirab，对不起我打错了。

— 山姆