Standardizacija ePutovnica: Pamet u dokumentima

Od sredine siječnja, sve su policijske uprave i postaje u Hrvatskoj počele izdavati biometrijske putovnice najnovije generacije kakve u Europi zasad izdaju tek Njemačka i Francuska. Hrvatska je, dakle, tek treća europska država s putovnicama koje sadrže čip s osobnim podacima osobe, digitaliziranom slikom i otiscima dvaju kažiprsta!
[ Željka Stražnicky, AKD voditeljica istraživanja i razvoja ]

Početkom 1996. godine međunarodna organizacija zadužena za standardizaciju putnih dokumenata ICAO (International Civil Aviation Organization), prvi je put razmatrala unaprjeđenje sigurnosti strojno čitljivih putnih dokumenata. U to je doba u obzir uzeta  i mogućnost implementacije biometrijskih značajki u dokument. Razmatrajući više tehnologija kao što su 2D i 3D barkod, ICAO je 2000. napokon odabrala implementaciju beskontaktnog čipa u strukturu dokumenta. Iako su događaji od 11. rujna 2001. ponešto ubrzali proces predstavljanja novih sigurnosnih elemenata putovnice, ICAO je već bio ostvario priličan napredak ka definiranju standarda ePutovnice prve generacije koje su predstavljene te iste 2001. godine.

Odgovor na rušenje "Twinsa"
Kao odgovor na rušenje WTO-a, SAD je od članica programa Visa Waiver (države oslobođene potrebe izdavanja viza za ulazak u SAD) zatražila izdavanje ePutovnica 1. generacije do 26. listopada 2004.; u protivnom bi se za ulazak njihovih državljana u SAD opet tražile vize. Budući da su nove specifikacije zahtijevale brzi odziv tržišta te ponudu kvalitetnih i sigurnih rješenja, čekanje odgovarajućeg tehnološkog razvoja već je drugi put prolongiralo rok koji je u konačnici bio definiran na 26. listopada 2006. Gotovo sve članice programa Visa Waiver uspjele su izaći u susret tome roku i izdale svoje ePutovnice 1. generacije. Među prvima je bila Belgija koja ih je izdala već u studenome 2004.
U sklopu zahtjeva postavljenih pred 1. generaciju ePutovnica nalaze se sljedeći osnovni elementi: slika lica kao obavezni biometrijski identifikator, otisci prstiju ili iris kao sekundarni i opcionalni biometrijski identifikatori, beskontaktni čip baziran na standardu ISO 14443 memorije od najmanje 32 Kb, posebno definirana LDS (logical data structure) struktura podataka na čipu te zaštita podataka  uporabom PKI infrastrukture.
Godine 2004. Europska je unija odlučila podići ljestvicu složenosti i zaštite ePutovnica te je, uz osnovne zahtjeve ICAO-a, kao obavezni element sadržaja ePutovnice za svoje članice uvela i - otiske prstiju. Budući da se otisci prstiju smatraju naročito osjetljivim podacima koji u slučaju krađe mogu otvoriti vrata dodatnoj mogućnosti teško osporiva lažnog predstavljanja, sigurnosni mehanizmi morali su biti unaprijeđeni u odnosu na 1. generaciju ePutovnica.
EU je za implementaciju 2. generacije ePutovnica svojim članicama kao rok postavio lipanj 2009., ali je i on prolongiran za godinu dana

Tako je za novu, tzv. 2. generaciju ePutovnica zahtijevano sljedeće: ispunjenje sigurnosnih zahtjeva 1. generacije, implementacija dvaju otisaka prsta te dodatnih sigurnosnih autentifikacijskih mehanizama tzv. proširene kontrole pristupa (Extended access control - EAC). EU je za implementaciju 2. generacije ePutovnica svojim članicama kao rok postavio lipanj 2009., ali je i on prolongiran za godinu dana.
No budući da je ICAO u svome standardu definirao samo mehanizme zaštite 1. generacije ePutovnica, za putovnice 2. generacije tek je trebalo osmisliti i definirati autentifikacijske mehanizme koji bi štitili otiske prstiju od neautoriziranog pristupa. ICAO je preporučio EAC, a standard je razvila EU, točnije organizacija BIG (Brussels Interoperability Group). Velik obol definiranju toga standarda dalo je i njemačko standardizacijsko tijelo – BSI (Bundesamt fűr Sicherheit in der Informationstechnik), pa nimalo ne čudi da je upravo Njemačka prva izdala ePutovnicu 2. generacije – još u studenome 2007. godine.

Sigurnosni mehanizmi
ICAO je specificirao više mjera za sigurnost podataka na čipu kao i zaštitu privatnosti nositelja ePutovnice. Jedan je od predstavljenih sigurnosnih mehanizama pasivna autentifikacija, koja jamči autentičnost i integritet podataka na čipu provjerom elektroničkog potpisa hash-a podataka kroz uspostavljen lanac certifikata organizacije ovlaštene za individualizaciju i izradu ePutovnica (u Hrvatskoj je to AKD d.o.o.) te krovnog certifikacijskog tijela ovlaštenog za izdavanje ePutovnica u državi (Country Signing Certificate Authority – CSCA; u Hrvatskoj je to MUP).
Osnovna kontrola pristupa (Basic Access Control - BAC), mehanizam je koji onemogućava skimming (neovlašteno prikupljanje podataka) i eavesdropping (neovlašteno gledanje ili prisluškivanje podataka za vrijeme komunikacije). Taj protokol osigurava pristup čipu uporabom specifičnih ključeva koji čine svojevrsnu šifru za ulazak u čip, a po posebnom se principu generiraju iz strojno čitljive zone (dvolinijski alfanumerički kod generiran iz osobnih podataka nositelja putovnice te vidljiv na dnu stranice s podacima). Kraće, bez otvaranja i prislanjanja ePutovnice uz skener koji optičkim putem prikuplja podatke iz strojno čitljive zone – u čip nije moguće "ući". Odvijanje postupka skeniranja pretpostavlja pristanak nositelja putovnice na postupak provjere.
Mnogo je prijepora u javnosti izazvala tema neovlaštenog, daljinskog, masovnog prikupljanja podataka iz čipova ePutovnica, naročito od strane aktivista za zaštitu privatnosti. Zbog toga se proteklih godina neumorno radilo na pronalasku učinkovitijih rješenja za zaštitu od neovlaštena pristupa podacima. Kako bi se poboljšala entropija mehanizma BAC-a, neke države - među kojima i Hrvatska - predstavile su koncept nasumičnih serijskih brojeva putovnica. Naime, kako BAC mehanizam za generiranje ulaznih šifri koristi podatke serijskog broja putovnice, datuma rođenja i datuma isteka putovnice iz strojno čitljive zone, moguće je, uz poznavanje datuma rođenja osobe, pretpostaviti sekvencijalni serijski broj putovnice na osnovu datuma isteka te tako otkriti i kombinaciju BAC ključeva za "ulaz" u putovnicu. Upravo se zato princip dodjeljivanja rednih serijskih brojeva putovnicama napušta te se sve više koristi princip nasumičnog dodjeljivanja serijskih brojeva.
Zaštita koja se nalazi u domeni funkcionalnosti samog čipa i aplikacije na čipu, koji je certificiran prema razini EAL 5+ standarda Common Criteria, generator je nasumičnog serijskog broja čipa. Pri svakom očitanju ePutovnice čip samostalno pokreće postupak izmjene svoga serijskog broja nasumičnim odabirom. U slučaju da se netko neovlašteno domogne serijskog broja čipa, ne može ga iskoristiti kao osnovu za praćenje osobe ili okidač za pokretanje krim-akcija (npr. bombaških napada) jer je taj broj pri svakom očitanju drukčiji.
Jedan od opcionalnih sigurnosnih mehanizama koje je preporučio ICAO jest aktivna autentifikaciija. Verifikacijom javnog dijela ključa aktivne autentifikacije uz korištenje odgovarajućeg privatnog ključa pohranjenog u sigurnosnoj memoriji čipa, sprječava se kloniranje sadržaja čipa, tj. primjenom tog mehanizma moguće je otkriti pokušaje kloniranja sadržaja jednog čipa na drugi (sigurnosni dio memorije čipa ne može se klonirati).

Dvije složene autentifikacije
Sigurnosni mehanizam koji predstavlja osnovu za zaštitu pristupa osjetljivim podacima (otiscima prstiju) 2. generacije ePutovnica tzv. je proširena kontrola pristupa (Extended Access Control - EAC). Ključni procesi proširene kontrole pristupa su autentifikacija čipa i autentifikacija čitača koji vrši provjeru ePutovnica (Terminal Authentication). Pri autentifikaciji čipa, a nakon što je proces BAC dovršen, komunikacija između putovnice i čitača iznova se uspostavlja uporabom jačih enkripcijskih ključeva. Taj protokol također dokazuje čitaču da je čip ePutovnice originalan, što čini alternativu
mehanizmu aktivne autentifikacije. Zbog toga mnoge države više ne implementiraju mehanizam aktivne autentifikacije. Nakon uspostave jačeg komunikacijskog kanala između čipa i čitača započinje protokol terminalske autentifikacije. Ona od inspekcijskog uređaja-čitača zahtijeva da putovnici dokaže da je ovlašten za pristup otiscima prstiju. Kako bi to omogućio, inspekcijski uređaj mora sadržavati lanac certifikata koji vodi do krovnog tijela države zaduženog za verifikaciju dokumenata (Country Verifiyng Certification Authority – CVCA; u Hrvatskoj je i to MUP), te isti ponuditi čipu pri terminalskoj autentifikaciji. Da bi provjerio autentičnost lanca certifikata čip koristi javni ključ CVCA koji, uz ostale podatke, ima pohranjen u svojoj strukturi. Provjerom elektroničkog potpisa ponuđenih certifikata uporabom toga ključa, čip dopušta ili odbija pristup otiscima. 
Kako bi ti sigurnosni mehanizmi zaštite od neautorizirana pristupa podacima čipa, kao i mehanizmi dokazivanja integriteta i autentičnosti podataka, pružili puni smisao i maksimalnu vrijednost, nužno je tijekom provjere ePutovnica pridržavati se propisanih standarda i redoslijeda provođenja autentifikacijskih mehanizama. Uz to treba pomno osmisliti poslovni model sustava izdavanja i provjere ePutovnica, procese i procedure koje ih prate te ih poštivati bez iznimki, u strogo definiranim uvjetima i zakonitostima.  U protivnom i najmanja nepravilnost u izvršavanju definiranih procedura može dovesti do previda krivotvorenih ePutovnica ili, u najmanju ruku, izazvati val negativnih komentara o tome da ePutovnice ne pružaju dovoljnu sigurnost i zaštitu privatnosti podataka. No, jedno je sigurno - kombinacija grafičkih (zaštite u papiru, tisku i drugim grafičkim komponentama putovnice) i elektroničkih elemenata zaštite, uvelike otežava pokušaje krivotvorenja ePutovnica.