Commentando il recente regolamento USA che introduce i chip RFID nei passaporti, l'esperto di sicurezza Bruce Schneier, scrivendo dalle colonne di Wired News, introduce un altro potenziale problema di privacy: l'identificazione univoca dei chip grazie ai collision ID.
RFID chips, including the ones specified for U.S. passports, can still be uniquely identified by their radio behavior. Specifically, these chips have a unique identification number used for collision avoidance. It's how the chips avoid communications problems if you put a bagful of them next to a reader. This is something buried deep within the chip, and has nothing to do with the data or application on the chip.
Chip manufacturers don't like to talk about collision IDs or how they work, but researchers have shown how to uniquely identify RFID chips by querying them and watching how they behave. And since these queries access a lower level of the chip than the passport application, an access-control mechanism doesn't help.
C'è da notare che la semplice conoscenza del collision ID non permette di risalire ai dati contenuti nel chip, ma potrebbe consentire di effettuare un tracking non autorizzato.
Ricordo infine che il regolamento statunitense impone anche ai cittadini che possono entrare negli USA per brevi periodi di tempo senza visto (come gli Italiani) di presentare alla frontiera, a partire da Ottobre 2006, un passaporto contenente un chip RFID.
Resta la mia perplessità: ce la faranno tutti i Paesi del VWP, fra cui l'Italia, ad adeguarsi nel giro di un anno? O saremo costretti a chiedere una (forse doverosa, in questo caso) proroga?
In realtà già da pochissimo sono entrate in vigore nuove norme. Sono andato la settimana scorsa a fare il passaporto e ho scoperto quanto segue: i passaporti a lettura ottica rilasciati fino al 26 ottobre 2005 sono validi per l'ingresso negli USA senza visto fino alla loro scadenza. Gli stessi passaporti rilasciati dopo il 26 ottobre 2005 non sono più validi per il "Visa waiver program" ed è necessario richiedere il visto. Per entrare senza visto bsogna avere il nuovo passaporto a lettura ottica con foto digitale (se non ho capito male dovrebbero avere la foto stampata invece che appiccicata sopra). Ma le questure italiane non sono tecnicamente attrezzate per rilasciarli (pare lo saranno tutte entro aprile 2006). Per cui in questo caso nessun rinvio è stato concesso dagli USA. E io sono fregato... quando dovrò andare negli USA dovrò chiedere il visto, sempre che le regole non cambino ancora...
Per maggiori info:
http://www.poliziadistato.it/pds/cittadino/passaporto/passaporto_usa.htm
Scritto da: Fabio D. | 07 novembre 2005 a 16:47
Non conoscevo queste norme italiane, che un po' mi rincuorano (segno che almeno si sta facendo qualcosa).
So però - essendo doppio nazionale - che anche la Svizzera si stava attrezzando in tal senso. E, come nel tuo caso, gli svizzeri che hanno il passaporto a lettura ottica emesso prima del 26 Ottobre 2005 possono entrare negli USA senza visto, chi invece fa il passaporto adesso dovrà richiedere il visto d'entrata. Fino a che ovviamente non saranno disponibili quelli biometrici.
Sarà curioso vedere le modalità di protezione che gli altri Paesi adotteranno per mantenere riservati i dati contenuti nel chip.
Scritto da: Luca Sambucci | 07 novembre 2005 a 17:28
Ma le norme non sono affatto italiane, in questo caso si tratta di una decisione unilaterale degli USA (o fate come diciamo noi o ve ne state fuori). Mi sta antipatica ma credo che ognuno sia libero di stabilire le norme per entrare a casa sua. Quello che mi fa inc...are è che l'Italia ha deciso di aderire a questo programma ma non siamo tecnicamente pronti... E quello che mi fa inc...are ancora di più è che se lo avessi saputo prima (ma i media hanno dato pochissimo risalto alla notizia) avrei fatto il passaporto un mese fa e teoricamente per 10 anni sarei stato a posto (molto teoricamente, perchè si parla appunto di passaporto biometrico da ottobre 2006, ma chi ha il passaporto rilasciato un paio di settimane fa per il momento è a posto). E richiedere il visto è un delirio... bisogna chiamare un numero 899 per prendere appuntamento in ambasciata, pagare 100$ e fornire varia documentazione che non vuoi rimanere negli USA (tra cui che hai un lavoro, che hai soldi in banca...). Altro che chip RFID....
Scritto da: Fabio D. | 07 novembre 2005 a 18:53
Già, conosco bene la trafila per i visti USA (l'ho dovuta studiare a memoria per la mia ragazza).
Restando comunque nel seminato: nei prossimi giorni cercherò di sentire qualche mio contatto al CNIPA per capire chi si sta occupando del nuovo passaporto biometrico e, soprattutto, come.
Scritto da: Luca Sambucci | 07 novembre 2005 a 19:06