自8月2日起,更新身份证的法国公民将收到2019年6月20日欧洲法规EU 2019/1157定义的新格式的身份证。它有银行卡大小,具有“存储个人数据的电子芯片” ,特别是人的生物特征数据。即:
- 公民身份数据(姓氏、名字、出生日期和地点、性别、身高、国籍)
- 家庭或居住地址
- 标题的颁发日期和有效期结束时间
- 卡号
- 脸部的数字图像
- 两根手指的指纹扫描图像
所有这些数据都无需接触即可访问。这实际上是欧洲法规的限制之一。“根据上述欧洲法规第 3 条,特别是本文第 5 和第 6 段中提到的要求,新的 CNI 包括集成 NFC 技术的高度安全的电子组件,允许非接触式读取”,内政部告诉我们。
低熵...
然而,您不应该(太)担心这些数据会被疯狂的读数所窃取,就像银行卡一样。集成了各种访问控制来防止这种情况发生。第一个称为“基本访问控制”(BAC),允许您读取芯片中除指纹之外的所有数据。为此,终端必须从卡背面 MRZ 区域的信息中提取特殊代码。终端操作员还可以输入卡正面的“卡访问号码”(CAN)。该代码还可以生成用于加密芯片和阅读器之间的交换的会话密钥。
该操作的目标很简单:通过要求您实际握住卡来访问存储在芯片上的信息来保护卡数据。因此,这降低了盲目阅读的风险。“但这并非不可能。这样的密码可以在几分钟内被暴力破解»,安全专家 Renaud Lifchitz 告诉我们。
事实上,这种特殊代码的熵很低,限制了可能组合的数量。因此,设法长时间靠近身份证的黑客可以秘密提取这些数据。出于同样的原因,黑客可以拦截交换并破解会话密钥来解密它们。
…但是双重身份验证
这就是为什么标准化组织希望用另一种名为 PACE(“密码验证连接建立”)的协议取代 BAC,该协议更加可靠,但需要更改读取设备。随着迁移的进行,两种模式都已在芯片中实现。
与公民身份数据(无论如何都可以在卡上读取)不同,指纹数据受到非常好的保护。访问除了需要访问码外,还需要芯片和读取终端之间的相互验证。此过程称为“扩展访问控制”(EAC),通过电子证书完成。因此,只有法国政府授权的终端才能访问身份证的指纹数据。
这个芯片会用来做什么呢?
身份证芯片的主要目的是打击文件欺诈和身份盗窃,因为它可以验证卡上显示的数据是否准确。事实上,芯片数据是由法国政府签署的。要创建假芯片,您需要拥有法国服务机构使用的私钥,这是不可能的。
目前,该芯片主要用于过境和执法检查时。“最终的目标是让公民使用这张芯片卡作为身份证明,在网上验证自己的身份”,我们可以在国家安全产权局(ANTS)的网站上看到。这种使用将有利于互联网上的管理程序。
这也是德国多年来一直在做的事情,德国自 2010 年起就推出了带有芯片的身份证。公民可以使用智能手机和名为“AusweisApp2”的移动应用程序,该应用程序允许他们验证自己的身份以执行在线程序:应用程序获取注册文件、学生经济援助申请、史塔西档案等。甚至计划德国公民最终将能够在其身份证芯片中添加证书,以便能够生成电子签名。不幸的是,在法国,我们距离这种使用水平还很远。
