美参议员炮轰CBP 电子护照系统存在长达十年的漏洞

据外媒报道，过去十年，美国边境检查人员一直未能有效加密地验明入境人员的护照信息，原因是政府没有合适的软件。在写给美国海关与边防局（CBP）代理司长 Kevin K. McAleenan 的信中，参议员 Ron Wyden 和 Claire McCaskill 要求其就此事作出答复。电子护照的芯片中嵌入了包含机器可读文本和加密信息，可以轻松验证护照的真实性和完整性。

自 2007 年引进以来，所有新发放的护照都是电子护照。在免签名单上的 38 个国家的公民，也都必须持有电子护照，才被允许进入美国。

加密信息使得一本护照几乎不可能被伪造，此外也有助于防止身份盗窃。然而参议员在本周四的这封信中指出，边防人员“缺乏验证电子护照芯片的技术能力”：

即便他们已经在大部分入境口岸部署了电子护照阅读器，CBP 依然没有必要的软件，来验证电子护照芯片上存储的信息。

特别是 CBP 无法验证存储在电子护照上的数字签名，这意味着 CBP 无法判断智能芯片上储存的数据是否被篡改或伪造。

令人震惊的是，早在 2010 年的时候，海关和边防部门就已经意识到了这个安全漏洞。

当年，政府问责办公室在一份报告（

PDF

）中首次点名批评了 CBP 的上级（国土安全部），指责其“在信赖数据之前，还没有实现验证数字签名所必须的全部功能”。

换言之，在国土安全部门堵住疏漏之前，边防人员只得继续依赖缺乏合理保证的系统，被电子护照芯片上可能被伪造的计算机数据给欺骗。

那么，8 年过去了，CBP 是否已经亡羊补牢了呢？遗憾的是，该机构仍不具备在电子护照上验证机器可读数据的技术能力！

新闻炸锅之后，约翰霍普金斯大学密码学讲师 Matthew Green 在一条推文中写到：

如果你持有一本来自免签国家的护照，那么边防人员只会从电子芯片上读取你的照片和旅行信息，而这些数据的可信度是无法保证的。

马修·格林继续评论道：

令人谛笑皆非的是，尽管这种电子护照是美国在经历了 9/11 恐袭后强行向全球推出的，我们却一直未能正确地使用它。

参议员们希望，有关部门可以在明年年初之前，提出一项对电子护照进行适当的身份验证的计划。不过截止发稿时，CBP 的发言人并没有回应媒体的置评请求。

[编译自：ZDNet, 来源：Wyden-Security-Letter（PDF）]