自2010年政府责任办公室(GAO)发现安全失误,习俗和边境保护(CBP)“仍然没有技术能力来验证Epassports中可读的机器可读数据,民主敏感的Claire McCaskill(Mo)和Ron Wyden(或Ron Wyden(或)在最近的一封信中,他需要cbp compastion compation compastion compation compation compation compation compation compation compation compation compation compation compation oct ocp use coptim of useenan comp ocp u vinan,自2007年实施以来,Epassports的抗虐待和反侮辱性特征已被CBP所使用。”
McCaskill和Wyden说:“如果没有软件来验证Epassport上存储的[加密]数字签名,CBP无法“确定存储在智能芯片上的数据是否已被篡改或伪造”。
CBP官员可以下载并阅读有关美国护照中RFID芯片的信息,但他们无法对其进行身份验证。 Gao在其2010年1月的审计报告中说,这是一个安全差距,它不允许CBP知道国家部放置在筹码上的数据。更好地使用电子护照安全功能可以改善欺诈检测。
当国务院开始使用嵌入式计算机芯片发行Epassports,以存储与护照中印刷的信息相同的信息时,它还开发了一套全面的控件,以管理系统的操作和管理,以生成和编写每个Epassport IT IT IT IT IT的芯片上的数字签名的安全功能。经过验证后,数字签名提供了合理的保证,即国务院放置在筹码上的数据尚未被更改或伪造。
“但是,” Gao指出,国土安全部(DHS)没有能力完全验证数字签名,因为它没有将Epassport读者部署到其所有进入端口,也没有实现执行验证所需的系统功能。由于安全功能的价值不仅取决于其扎实的设计,而且还取决于使用它们的检查过程,因此可以通过在美国和外国发行的Epassports中包含计算机筹码来提供的额外的安全性,包括参加签证豁免计划的Epassports,尚未完全实现。”
“The US government played a central role in the global adoption of ePassports. These high-tech passports have smart chips – which store traveler information – and cryptographic signatures, an important security feature that verifies the validity and legitimacy of the passport and its issuing government agency,” and, “for more than a decade, the United States has required that countries on the visa-waiver list issue machine-readable ePassports,” McCaskill and Wyden说:“自2015年以来,美国进一步要求签证牌清单上的所有访客都以Epassport进入美国。”
但是,“尽管做出了这些努力,”两位参议员告诉麦克莱恩,“ CBP缺乏验证Epassport芯片的技术能力。
他们强调,“ CBP至少自2010年以来就意识到了这种安全性的失误”,当GAO审计报告“突出了技术的差距。
在审计报告时,GAO建议“ DHS实施了在美国入境口区充分验证Epassport数字签名所需的系统,并与州协调,实施了一种方法来获取必要的数据以验证我们和其他国家和其他国家的E-Passports上的数字签名。”
国土安全部也同意政府监管机构的建议。
Now nearly a decade later, McCaskill and Wyden stated, “It is past time for CBP to utilize the digital security features it required be built into ePassports,” and told McAleenan CBP must “Work with the relevant subject matter experts at the General Services Administration to determine the true cost of developing or acquiring the technical capacity to validate the digital signatures in e-Passports,” and to, “Develop and implement a plan to properly authenticate Epassports截至2019年1月1日。”
GAO指出:“美国Epassport计算机芯片设计的保护措施限制了芯片居民的恶意代码的风险,这是对芯片的恶意代码攻击的必要前提,以针对读取它们的计算机系统进行。”
但是,虽然采取了“减少可能将恶意代码引入芯片的可能性……这些步骤并不能完全保证这些筹码没有恶意代码。” DHS…需要解决我们以前在其计算机系统上的工作中指出的缺陷,以减轻可能从Epassport计算机芯片中读取的任何恶意代码的影响并感染这些系统。”
作为回应,CBP表示:“虽然目前没有验证Epassport的国家证书,但CBP确实验证了芯片和机器可读区域内包含的数据(MRZ)……比较了芯片和MRZ的数据,并且对CBP官员进行了任何不一致的标记。” CBP还表示,它验证芯片尚未被修改或篡改。
