ตั้งแต่ปี 2010 เมื่อสำนักงานความรับผิดชอบของรัฐบาล (GAO) ค้นพบการรักษาความปลอดภัยหมดอายุการป้องกันศุลกากรและการป้องกันชายแดน (CBP)“ ยังไม่มีความสามารถทางเทคโนโลยีในการตรวจสอบข้อมูลเครื่องจักรที่สามารถอ่านได้ใน epassports” Democratic Sens กล่าวว่า คุณสมบัติต่อต้านการให้อภัยและต่อต้านการแช่แข็งใน Epassports ซึ่ง CBP ไม่ได้ใช้งานมาตั้งแต่ดำเนินการในปี 2550”
“ หากไม่มีซอฟต์แวร์ [เพื่อ] ตรวจสอบลายเซ็นดิจิตอล [cryptographic] ที่เก็บไว้ใน epassport” CBP ไม่สามารถ“ ตรวจสอบว่าข้อมูลที่เก็บไว้ในชิปอัจฉริยะได้รับการดัดแปลงหรือปลอมแปลง” McCaskill และ Wyden กล่าว
เจ้าหน้าที่ CBP สามารถดาวน์โหลดและอ่านข้อมูลเกี่ยวกับชิป RFID ในหนังสือเดินทางของสหรัฐอเมริกาได้ แต่พวกเขาไม่สามารถตรวจสอบสิทธิ์ได้ มันเป็นช่องว่างด้านความปลอดภัยที่ไม่อนุญาตให้ CBP ทราบว่าข้อมูลที่วางไว้ในชิปโดยกระทรวงการต่างประเทศยังไม่ได้รับการ“ เปลี่ยนแปลงหรือปลอมแปลง” GAO ระบุไว้ในรายงานการตรวจสอบเดือนมกราคม 2010การใช้คุณสมบัติการรักษาความปลอดภัยหนังสือเดินทางอิเล็กทรอนิกส์ที่ดีขึ้นสามารถปรับปรุงการตรวจจับการฉ้อโกง-
เมื่อกระทรวงการต่างประเทศเริ่มออก epassports ด้วยชิปคอมพิวเตอร์แบบฝังซึ่งเก็บข้อมูลที่เหมือนกับที่พิมพ์ในหนังสือเดินทางมันยังพัฒนาชุดควบคุมที่ครอบคลุมเพื่อควบคุมการดำเนินงานและการจัดการระบบเพื่อสร้างและเขียนคุณสมบัติความปลอดภัยที่เรียกว่าลายเซ็นดิจิตอลบนชิปของแต่ละปัญหาไอที เมื่อตรวจสอบแล้วลายเซ็นดิจิตอลจะให้ความมั่นใจอย่างสมเหตุสมผลว่าข้อมูลที่วางไว้ในชิปโดยกระทรวงการต่างประเทศยังไม่ได้รับการเปลี่ยนแปลงหรือปลอมแปลง
“ อย่างไรก็ตาม” Gao ชี้ให้เห็นกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ไม่มีความสามารถในการตรวจสอบลายเซ็นดิจิตอลอย่างเต็มที่เนื่องจากไม่ได้ปรับใช้เครื่องอ่าน EPASSPORT ไปยังพอร์ตทั้งหมดของการเข้าและไม่ได้ใช้ฟังก์ชันการทำงานของระบบที่จำเป็นในการตรวจสอบ เนื่องจากคุณค่าของคุณสมบัติด้านความปลอดภัยนั้นไม่เพียง แต่ขึ้นอยู่กับการออกแบบที่แข็งแกร่งของพวกเขา แต่ยังอยู่ในกระบวนการตรวจสอบที่ใช้พวกเขาการรักษาความปลอดภัยเพิ่มเติมต่อการปลอมแปลงและการปลอมแปลงที่สามารถให้ได้โดยการรวมชิปคอมพิวเตอร์ใน epassports ที่ออกโดยสหรัฐอเมริกาและต่างประเทศรวมถึงผู้ที่เข้าร่วมในโปรแกรมการสละวีซ่า
“ รัฐบาลสหรัฐมีบทบาทสำคัญในการยอมรับทั่วโลกของ epassports หนังสือเดินทางไฮเทคเหล่านี้มีชิปอัจฉริยะ-ซึ่งจัดเก็บข้อมูลนักเดินทาง-และลายเซ็นการเข้ารหัสการเข้ารหัสซึ่งเป็นคุณลักษณะด้านความปลอดภัยที่สำคัญที่ยืนยันความถูกต้องและความถูกต้องตามกฎหมายของหนังสือเดินทาง กล่าวว่า“ ตั้งแต่ปี 2558 สหรัฐอเมริกาได้กำหนดให้ผู้เยี่ยมชมทุกคนจากประเทศในรายการวีซ่า-เวียร์เข้าสู่สหรัฐอเมริกาด้วย epassport”
แต่“ แม้จะมีความพยายามเหล่านี้” วุฒิสมาชิกทั้งสองบอกกับ McAleenan ว่า“ CBP ขาดความสามารถทางเทคนิคในการตรวจสอบชิป Epassport
พวกเขาเน้นว่า“ CBP ได้ตระหนักถึงความปลอดภัยนี้ตั้งแต่อย่างน้อยปี 2010” เมื่อรายงานการตรวจสอบ GAO“ เน้น [ED] ช่องว่างในเทคโนโลยี“ แปดปีหลังจากการตีพิมพ์นั้น CBP ยังคงไม่ได้มีความสามารถทางเทคโนโลยีในการตรวจสอบข้อมูลเครื่องจักรที่สามารถอ่านได้ใน epassports”
ในช่วงเวลาของรายงานการตรวจสอบ GAO แนะนำ“ DHS ใช้ระบบที่จำเป็นในการตรวจสอบลายเซ็นดิจิตอล EPASSPORT อย่างเต็มที่ที่พอร์ตการเข้าของสหรัฐอเมริกาและในการประสานงานกับรัฐใช้วิธีการเพื่อรับข้อมูลที่จำเป็นเพื่อตรวจสอบลายเซ็นดิจิตอลในสหรัฐอเมริกาและ E-Passports ของประเทศอื่น ๆ ”
DHS เห็นด้วยกับคำแนะนำของรัฐบาล
ตอนนี้เกือบหนึ่งทศวรรษต่อมา McCaskill และ Wyden กล่าวว่า“ ถึงเวลาแล้วที่ CBP จะใช้ประโยชน์จากคุณสมบัติการรักษาความปลอดภัยดิจิทัลที่จำเป็นต้องถูกสร้างขึ้นใน epassports” และบอกกับ McAleenan CBP จะต้อง“ ทำงานกับผู้เชี่ยวชาญด้านการบริการทั่วไปที่เกี่ยวข้อง Epassports ภายในวันที่ 1 มกราคม 2019”
GAO ได้ตั้งข้อสังเกตว่า“ การป้องกันที่ออกแบบไว้ในชิปคอมพิวเตอร์ของสหรัฐอเมริกา Epassport จำกัด ความเสี่ยงของรหัสที่เป็นอันตรายที่อาศัยอยู่บนชิปซึ่งเป็นเงื่อนไขที่จำเป็นสำหรับการโจมตีรหัสที่เป็นอันตรายที่จะเกิดขึ้นจากชิปกับระบบคอมพิวเตอร์ที่อ่านพวกเขา”
แต่ในขณะที่ขั้นตอนถูกนำมา“ เพื่อลดโอกาสที่รหัสที่เป็นอันตรายสามารถนำมาใช้กับชิป…ขั้นตอนเหล่านี้ไม่ได้ให้ความมั่นใจอย่างสมบูรณ์ว่าชิปนั้นปราศจากรหัสที่เป็นอันตราย” Gao เปิดเผยโดยสังเกตว่า“ การสื่อสารที่ จำกัด ระหว่างชิป Epassport DHS …จำเป็นต้องระบุข้อบกพร่องที่ระบุไว้ในงานก่อนหน้าของเราในระบบคอมพิวเตอร์เพื่อลดผลกระทบของรหัสที่เป็นอันตรายใด ๆ ที่อาจอ่านได้จากชิปคอมพิวเตอร์ EPASSPORT และติดเชื้อระบบเหล่านั้น”
ในการตอบสนอง CBP ได้ระบุไว้ว่า“ ในขณะที่ [IT] ไม่ได้ตรวจสอบใบรับรองประเทศของ Epassport ในเวลานี้ CBP ตรวจสอบข้อมูลที่อยู่ภายในชิปและในเขตเครื่องอ่านที่สามารถอ่านได้ (MRZ) …ข้อมูลบนชิปและ MRZ ถูกเปรียบเทียบและไม่สอดคล้องกันใด ๆ CBP ยังกล่าวอีกว่ามันตรวจสอบว่าชิปยังไม่ได้รับการแก้ไขหรือดัดแปลงด้วย
หัวข้อบทความ
การรับรองความถูกต้อง-CBP-นักแสดง-GAO (สำนักงานความรับผิดชอบของรัฐบาล)-เครื่องอ่านได้-ประเทศสหรัฐอเมริกา
