+7 495 980 0770

В России введут цифровые паспорта

Россиянам предложили перейти на цифровые паспорта в виде смарт-карт — по плану Минцифры, это можно будет сделать уже к концу года. ИБ-эксперты опасаются, что новая система повлечет за собой и новые риски, в том числе злоупотребление киберуязвимостями и массовую фальсификацию. Такие примеры уже были в других странах мира, которые отказались от паспортов в пользу «пластика».

Легко подделать

Ввод цифровых паспортов в виде пластиковых смарт-карт в России запланирован на конец 2021 года. О таком нововведении рассказал в интервью телеканалу «Россия 24» глава Министерства цифрового развития Максут Шадаев. Министр уточнил, что у ведомства также поставлена задача создать копию цифрового паспорта, которую можно будет в виде QR-кода показать на телефоне. При этом Шадаев заверил, что россиян не будут принуждать переходить на электронные паспорта.

«Те люди, которые готовы будут поменять бумажный паспорт на смарт-карту, на цифровую копию паспорта в смартфоне, это будет их решение. Внутри есть согласованная позиция, что это не будет обязательным», – отметил министр Максут Шадаев в интервью телеканалу «Россия 24».

Однако введение новой электронной системы с базой данных граждан страны несет и новые риски для россиян. У специалистов в информационной безопасности существуют опасения, что система будет иметь уязвимости, а сами карты — подделываться.

Исследователи киберугроз в Avast Владимир Мартьянов и Мартин Хрон рассказали «Газете.Ru», что полностью подделать смарт-карту становится легче при несоблюдении определенных условий. «Начинка» цифрового паспорта должна быть хорошо реализована и иметь специальные механизмы защиты от злоумышленников.

«Для защиты смарт-карт необходимо использовать сложную криптографию и особенно генерацию ключей», — добавили специалисты.

Исследователи пояснили, что уязвимости возможны как у считывающего устройства, так и у чипа смарт-карты. Эксперты вспомнили, как в 2017 году была обнаружена «дыра» в безопасности чипа эстонских идентификационных карт. По их словам, брешь под названием ROCA дала возможность злоумышленникам восстановить закрытый ключ (генерируется внутри чипа и должен быть недоступен за его пределами) с помощью открытого ключа, который находится в общем доступе.

«Используя эту уязвимость, злоумышленники могли выдавать себя за других людей и украсть данные 760 тыс. пользователей», — пояснили собеседники «Газеты.Ru».

Директор департамента информационной безопасности компании Oberon Евгений Суханов не разделяет этих опасений. В комментарии «Газете.Ru» он отметил, что при соблюдении требований по защите передачи данных подделать смарт-паспорт не получится. По его словам, попытка считать скомпрометированную копию документа будет отклонена эмитентом — МВД или Минцифры России. Он также уточнил, что известные уязвимости смарт-карт были связаны с компрометацией ИТ-инфраструктуры того ведомства, которое выпускает цифровые паспорта.

Подробнее в материале